/ Roberta VITALE Martedì, 31 ottobre 2017
5-7 minuti
Adottate le Linee guida emendate nella versione del 4 ottobre 2017
Con un comunicato pubblicato nella Newsletter n. 434 di ieri, il Garante per la protezione dei dati personali ha reso nota l’adozione, il 4 ottobre scorso, delle Linee guida “Data Protection Impact Assessment” - DPIA da parte delle Autorità di protezione dati europee (si veda anche “Applicazione uniforme del nuovo Regolamento privacy” del 13 ottobre 2017).
Le Linee guida, nella versione emendata rispetto a quella precedente dello scorso 4 aprile 2017, riguardano la valutazione di impatto sulla protezione dei dati, nonché i criteri per stabilire se un trattamento possa presentare un rischio elevato.
Si tratta, nello specifico, della nuova procedura introdotta dal Regolamento (UE) del Parlamento europeo e del Consiglio 27 aprile 2016 n. 679, “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. L’applicazione del Regolamento è prevista, ai sensi dell’art. 99, per il prossimo 25 maggio 2018.
La DPIA, cioè la valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali, consiste – così come precisato dal Garante della privacy nel comunicato in commento – in una procedura volta a descrivere il trattamento dei dati, valutare la necessità e la proporzionalità dello stesso, oltre a facilitare la gestione dei rischi per diritti e libertà delle persone fisiche.
Con la DPIA il titolare può realizzare e dimostrare l’adozione di misure idonee e, dunque, la conformità del trattamento alle prescrizioni del Regolamento europeo.
L’art. 35 del Regolamento n. 679/2016 prevede l’obbligatorietà della DPIA, non per ogni singolo trattamento, ma solo se la tipologia dei trattamenti presenta rischi elevati per i diritti e le libertà delle persone.
La valutazione, che deve essere effettuata prima di procedere al trattamento, spetta al titolare del trattamento che, nello svolgere tale compito, si consulta con il responsabile della protezione dei dati, qualora sia designato.
Con una singola valutazione si possono esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi (ad esempio, l’adozione di un analogo sistema di videosorveglianza da parte di un gruppo di autorità locali).
Per il Garante della privacy, la DPIA, indipendentemente dalla sua obbligatorietà, rappresenta sempre una “buona prassi” per Pubbliche Amministrazioni e imprese.
DPIA considerata sempre buona prassi per P.A. e imprese
Attenzione, poi, alle sanzioni pecuniarie in caso di inosservanza degli obblighi relativi alla DPIA. La competente autorità di controllo, infatti, può comminare una sanzione amministrativa pecuniaria fino a un massimo di 10 milioni di euro “o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore” (art. 83, comma 4 del Regolamento), nei seguenti casi:
- mancato svolgimento della DPIA quando il trattamento è soggetto alla valutazione obbligatoria;
- svolgimento non corretto di una DPIA;
- mancata consultazione dell’autorità di controllo competente ove ciò sia necessario.
Le Linee guida forniscono infine alcuni criteri per l’individuazione dei trattamenti che richiedono una DPIA a causa del rischio inerentemente elevato, anche in vista dell’elaborazione da parte dell’autorità di controllo degli appositi elenchi previsti dall’art. 35, comma 4 del Regolamento.
Si tratta, nel dettaglio, dei trattamenti valutativi o di scoring, compresa la profilazione e attività predittive, delle decisioni automatizzate che producono l’esclusione di una persona fisica da determinati benefici ovvero la sua discriminazione, del monitoraggio sistematico degli interessati, del trattamenti di dati su larga scala in particolare dei dati sensibili. Vi sono, poi, la combinazione o il raffronto di insiemi di dati, per esempio derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dalle ragionevoli aspettative dell’interessato. Infine, si segnalano anche gli utilizzi innovativi o le applicazione di nuove soluzioni tecnologiche o organizzative.