DPIA: quando effettuarla?

Il Regolamento Europeo 679/2016 ha istituito (art. 35) il concetto di D.P.I.A. (Data Protection Impact Assessment – in italiano Valutazione dell’Impatto sulla Protezione dei Dati Personali).

Si tratta di una valutazione (preventiva) dell’impatto che un trattamento di dati personali potrebbe determinare sui diritti e le libertà delle persone interessate; qualora il rischio potenziale risulti elevato, occorrerà adottare tutte le necessarie (e possibili) misure di riduzione; nel caso il rischio residuo rimanga elevato occorrerà ricorrere alla consultazione della Autorità di Controllo.

Quando occorre effettuare una DPIA?

L’autorità Garante ha predisposto una apposita pagina informativa sulla DPIA; in generale, si deve condurre una valutazione di impatto:

  • quando il trattamento comporta una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • nel caso di trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  • qualora il trattamento abbia ad oggetto la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Tali ampie definizioni non consentono di determinare con esattezza i casi specifici che necessitano di valutazione DPIA; per agevolare i vari Titolari del trattamento nella autonoma decisione (accountability), il gruppo di lavoro “Article 29 Working Party” ha prodotto delle apposite linee guida.

Sono individuati nove criteri discriminanti:

  • in presenza di valutazioni o assegnazioni di punteggi, inclusive di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato“;
  • nel caso di processi decisionali automatizzati aventi effetto giuridico o significamente incidenti in modo analogo: trattamento che mira a consentire l’adozione di decisioni in merito agli interessati che “hanno effetti giuridici” o che “incidono significativamente in modo analogo su dette persone fisiche”;
  • qualora si effettui un monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  • in presenza di dati sensibili o dati aventi carattere altamente personale: questo criterio include categorie particolari di dati personali così come definite all’articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’articolo 10;
  • qualora il trattamento di dati avvenga su larga scala: il regolamento generale sulla protezione dei dati non specifica “larga scala”; il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:
    1. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
    2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
    3. la durata, ovvero la persistenza, dell’attività di trattamento;
    4. la portata geografica dell’attività di trattamento;
  • qualora si ricerchino corrispondenze o combinazione da insiemi di dati, es. partendo da due o più basi di dati di diverse tipologie, diversi Titolari o diverse finalità (data mining – machine learning);
  • dati relativi a interessati vulnerabili: il trattamento di questo tipo di dati è prono a squilibrare il rapporto tra gli interessati e il titolare del trattamento, oppure ad esercitare compiutamente i propri diritti;
  • uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative, come l’adozione combinata di tecnologie biometriche e fisiche per il riconoscimento di utenti;
  • qualora il trattamento sia effettuato per “impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”, come nel caso di trattamenti occorrenti a consentire, modificare o rifiutare l’accesso degli interessati a un servizio oppure la stipula di un contratto.

Il WP29 indica come, in presenza di almeno due di questi indicatori, sia necessario condurre la valutazione DPIA.

Di recente, la Autorità di Controllo Belga ha pubblicato un elenco di trattamenti che debbono essere valutati con apposita DPIA:

  • trattamenti che utilizzano dati biometrici per l’identificazione univoca di persone in un luogo pubblico o in un luogo privato accessibile al pubblico;
  • qualora i dati personali vengono raccolti da terzi per essere successivamente utilizzati ai fini della decisione di rifiutare o risolvere un determinato contratto di servizi con una persona fisica;
  • quando il trattamento riguarda categorie particolari di dati personali, ai sensi dell’art. 9 GDPR, che sono (ri)utilizzati per uno scopo diverso da quello per il quale sono stati raccolti, tranne nel caso in cui il trattamento sia basato sul consenso dell’interessato o se è necessario per adempiere ad un obbligo legale a cui è sottoposto il titolare;
  • quando il trattamento viene eseguito utilizzando un apparato ed una violazione dei dati personali potrebbe compromettere la salute fisica dell’interessato;
  • nel caso di trattamento su larga scala di dati personali di soggetti vulnerabili, compresi i bambini, per uno o più scopi diversi da quelli per i quali i dati sono stati raccolti;
  • quando i dati vengono raccolti su larga scala da terze parti per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento di persone fisiche;
  • qualora particolari categorie di dati personali ai sensi dell’articolo 9 GDPR o dati di natura molto personale (come i dati sulla povertà, disoccupazione, partecipazione al lavoro giovanile o lavoro sociale, dati di attività domestiche e private, dati di localizzazione) sono sistematicamente scambiati tra diversi titolari;
  • in presenza di elaborazioni su larga scala di dati generati da dispositivi dotato di sensori che inviano dati via Internet o altri mezzi (IoT, come smartTV, elettrodomestici intelligenti, giocattoli, smart cities, contatori intelligenti di energia, ecc.) e tale trattamento viene utilizzato per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento delle persone fisiche;
  • quando si effettuino elaborazioni su larga scala e/o sistematica di dati di telefonia, Internet o altri dati di comunicazione, metadati o dati di localizzazione di persone fisiche o che consentano di ricondurre a persone fisiche, quando il trattamento non è strettamente necessario per l’esecuzione di un servizio richiesto dall’interessato;
  • in caso di elaborazioni automatizzate e sistematiche di dati personali su larga scala in cui il comportamento delle persone fisiche è monitorato, raccolto, stabilito o influenzato, inclusi i trattamenti per scopi pubblicitari.