Tipologie di trattamenti soggetti a DPIA

L’Autorità di Controllo italiana (Garante per la Protezione dei Dati Personali) ha predisposto un elenco (ovviamente non esaustivo) delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento.

  1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
  4. Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
  5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).
  6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
  7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01.
  8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
  9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
  10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
  11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento
  12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Sono ovviamente sempre valide le precedenti indicazioni fornite dalla Autority su quando occorra effettuare una DPIA.

DPIA: quando effettuarla?

Il Regolamento Europeo 679/2016 ha istituito (art. 35) il concetto di D.P.I.A. (Data Protection Impact Assessment – in italiano Valutazione dell’Impatto sulla Protezione dei Dati Personali).

Si tratta di una valutazione (preventiva) dell’impatto che un trattamento di dati personali potrebbe determinare sui diritti e le libertà delle persone interessate; qualora il rischio potenziale risulti elevato, occorrerà adottare tutte le necessarie (e possibili) misure di riduzione; nel caso il rischio residuo rimanga elevato occorrerà ricorrere alla consultazione della Autorità di Controllo.

Quando occorre effettuare una DPIA?

L’autorità Garante ha predisposto una apposita pagina informativa sulla DPIA; in generale, si deve condurre una valutazione di impatto:

  • quando il trattamento comporta una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • nel caso di trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  • qualora il trattamento abbia ad oggetto la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Tali ampie definizioni non consentono di determinare con esattezza i casi specifici che necessitano di valutazione DPIA; per agevolare i vari Titolari del trattamento nella autonoma decisione (accountability), il gruppo di lavoro “Article 29 Working Party” ha prodotto delle apposite linee guida.

Sono individuati nove criteri discriminanti:

  • in presenza di valutazioni o assegnazioni di punteggi, inclusive di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato“;
  • nel caso di processi decisionali automatizzati aventi effetto giuridico o significamente incidenti in modo analogo: trattamento che mira a consentire l’adozione di decisioni in merito agli interessati che “hanno effetti giuridici” o che “incidono significativamente in modo analogo su dette persone fisiche”;
  • qualora si effettui un monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  • in presenza di dati sensibili o dati aventi carattere altamente personale: questo criterio include categorie particolari di dati personali così come definite all’articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’articolo 10;
  • qualora il trattamento di dati avvenga su larga scala: il regolamento generale sulla protezione dei dati non specifica “larga scala”; il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:
    1. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
    2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
    3. la durata, ovvero la persistenza, dell’attività di trattamento;
    4. la portata geografica dell’attività di trattamento;
  • qualora si ricerchino corrispondenze o combinazione da insiemi di dati, es. partendo da due o più basi di dati di diverse tipologie, diversi Titolari o diverse finalità (data mining – machine learning);
  • dati relativi a interessati vulnerabili: il trattamento di questo tipo di dati è prono a squilibrare il rapporto tra gli interessati e il titolare del trattamento, oppure ad esercitare compiutamente i propri diritti;
  • uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative, come l’adozione combinata di tecnologie biometriche e fisiche per il riconoscimento di utenti;
  • qualora il trattamento sia effettuato per “impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”, come nel caso di trattamenti occorrenti a consentire, modificare o rifiutare l’accesso degli interessati a un servizio oppure la stipula di un contratto.

Il WP29 indica come, in presenza di almeno due di questi indicatori, sia necessario condurre la valutazione DPIA.

Di recente, la Autorità di Controllo Belga ha pubblicato un elenco di trattamenti che debbono essere valutati con apposita DPIA:

  • trattamenti che utilizzano dati biometrici per l’identificazione univoca di persone in un luogo pubblico o in un luogo privato accessibile al pubblico;
  • qualora i dati personali vengono raccolti da terzi per essere successivamente utilizzati ai fini della decisione di rifiutare o risolvere un determinato contratto di servizi con una persona fisica;
  • quando il trattamento riguarda categorie particolari di dati personali, ai sensi dell’art. 9 GDPR, che sono (ri)utilizzati per uno scopo diverso da quello per il quale sono stati raccolti, tranne nel caso in cui il trattamento sia basato sul consenso dell’interessato o se è necessario per adempiere ad un obbligo legale a cui è sottoposto il titolare;
  • quando il trattamento viene eseguito utilizzando un apparato ed una violazione dei dati personali potrebbe compromettere la salute fisica dell’interessato;
  • nel caso di trattamento su larga scala di dati personali di soggetti vulnerabili, compresi i bambini, per uno o più scopi diversi da quelli per i quali i dati sono stati raccolti;
  • quando i dati vengono raccolti su larga scala da terze parti per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento di persone fisiche;
  • qualora particolari categorie di dati personali ai sensi dell’articolo 9 GDPR o dati di natura molto personale (come i dati sulla povertà, disoccupazione, partecipazione al lavoro giovanile o lavoro sociale, dati di attività domestiche e private, dati di localizzazione) sono sistematicamente scambiati tra diversi titolari;
  • in presenza di elaborazioni su larga scala di dati generati da dispositivi dotato di sensori che inviano dati via Internet o altri mezzi (IoT, come smartTV, elettrodomestici intelligenti, giocattoli, smart cities, contatori intelligenti di energia, ecc.) e tale trattamento viene utilizzato per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento delle persone fisiche;
  • quando si effettuino elaborazioni su larga scala e/o sistematica di dati di telefonia, Internet o altri dati di comunicazione, metadati o dati di localizzazione di persone fisiche o che consentano di ricondurre a persone fisiche, quando il trattamento non è strettamente necessario per l’esecuzione di un servizio richiesto dall’interessato;
  • in caso di elaborazioni automatizzate e sistematiche di dati personali su larga scala in cui il comportamento delle persone fisiche è monitorato, raccolto, stabilito o influenzato, inclusi i trattamenti per scopi pubblicitari.