Quando è necessario svolgere la Data Protection Impact Assessment (DPIA)?

La DPIA è obbligatoria soltanto se è probabile che il trattamento "provochi un elevato rischio per i diritti e le libertà delle persone fisiche" Ciò è particolarmente rilevante quando viene introdotta una nuova tecnologia di elaborazione dati.

Nei casi in cui c’è il dubbio se debba o meno essere effettuata, il consiglio, come sempre, è quello di procedere ugualmente.

La valutazione d'impatto sulla protezione dei dati dovrà essere necessariamente realizzata, come previsto dal GDPR, in una serie di ipotesi particolari, e in particolare nel caso in cui il titolare ponga in essere delle attività che consistono in:

1. una valutazione sistematica e globale degli aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e su cui si fondano decisioni che hanno effetti giuridici o incidono comunque significativamente sulle persone fisiche;
2. un trattamento, su larga scala, di categorie particolari di dati (dati sensibili), o di dati relativi a condanne penali e a reati;
3. operazioni di sorveglianza sistematica di zone accessibile al pubblico su larga scala.

Sarà comunque compito dell'autorità di controllo competente predisporre e rendere pubblico un apposito elenco relativo alle diverse tipologie di trattamenti per i quali sarà o non sarà necessario effettuare una valutazione d'impatto sulla protezione dei dati (adempimento cui il nostro Garante non ha ancora provveduto).

Un esempio (tipo A) potrebbe essere un istituto bancario che classifichi i propri clienti in base ai dati economici, o di una società che offre un servizio per il quale debba entrare in possesso di dati riguardanti la salute, o ancora una società di costruzione di profili comportamentali o di marketing in base all’utilizzo o alla navigazione su siti web, vi ricordate di Cambridge Analytica?

C’è tutta una serie di casistiche da prendere in considerazione, ma per brevità non possiamo trattarle tutte, basti pensare ad un ospedale, alle investigazioni private o in generale quando i dati è lecito raccoglierli ma non si può far sapere all’interessato(sorveglianza), a fasce particolari come minori, all’introduzione di nuove tecnologie per le quali non si ha esperienza circa le conseguenze dell’uso o la perdita di quei dati.

In generale per tutti i casi particolari varrà anche il precedente, se la DPIA è stata effettuata in un ambito simile, occorrerà procedere con essa.

Come effettuare una DPIA?

La DPIA deve essere effettuata prima del trattamento, dovrebbe essere vista come uno strumento per facilitare il processo decisionale relativo al trattamento. Il titolare si assicura che la DPIA sia eseguita, può essere effettuata anche da qualcun altro, all'interno o all'esterno all’ azienda, ma il titolare rimane sempre responsabile per tale compito.

Il titolare deve anche chiedere il parere del DPO, se previsto, e tale parere nonchè le decisioni prese dal titolare devono essere documentati nella DPIA. Il DPO dovrebbe inoltre monitorare l’andamento (performance) della DPIA. Se il trattamento è eseguito interamente o parzialmente da un responsabile (processor), il responsabile dovrebbe assistere il titolare nell'esecuzione della DPIA e fornire tutte le informazioni necessarie.

Il GDPR definisce le caratteristiche minime che deve possedere una DPIA :

• descrizione delle operazioni di trattamento previste e delle finalità del trattamento
• una valutazione della necessità e della proporzionalità del trattamento
• una valutazione dei rischi per i diritti e le libertà dei soggetti interessati
• le misure previste per: "risolvere i rischi"; o "dimostrare la conformità al presente regolamento"

I titolari del trattamento ogni volta che decidono di introdurre una nuova tecnologia nel trattamento del dato o di trattare un nuovo dato, dovranno preoccuparsi di valutare la necessità o meno di effettuare una DPIA secondo i criteri e la casistica sopra illustrata. Nei casi dubbi è sempre bene contattare l’autorità preposta, in questo caso il nostro Garante per la Privacy. La scelta di non realizzare una DPIA dovrà essere ponderata e motivata, in modo da essere rappresentata in caso di controlli per il rispetto del principio dell’accountability. 

 3. Il trattamento dei dati in possesso prima del GDPR

Procedendo per gradi, dopo aver visto i fondamenti del GDPR, come e cosa intende per trattamento dei dati personali, e come procedere a valutare l'impatto di quest'ultimo sui dati di cui entriamo in possesso, c'è da chiedersi come comportarsi con i dati personali attualmente a nostra disposizione.

Ovviamente parliamo di dati che rispettino la Legge sulla Privacy attualmente in vigore, che come già detto in precedenza è già abbastanza avanti rispetto ad altri Paesi UE, quindi parliamo di dati dei quali abbiamo già il consenso e non invece avuti per vie poco chiare. Anche l'attuale legislazione predispone che l'interessato sappia quali dati e per quali finalità noi operiamo, che siano tenuti al sicuro e che non compromettano il proprietario. Ma le novità introdotto dal nuovo regolamento impongono una riflessione circa l'integrazione delle nuove regole e soprattutto la compatibilità con quelle vecchie.

Ad esempio dal 25 maggio in poi non sarà più possibile obbligare al consenso un utente, penso ad esempio a quei form di registrazione che imponevano velatamente l'iscrizione alla newsletter o un variabile numero di consensi impliciti. Ricordiamo che vige il concetto di granularità del consenso e per ogni finalità di trattamento dobbiamo avere un consenso inequivocabile, attualmente la cosa non è prevista.

Come comportarsi quindi con i dati già detenuti nei nostri database? Il regolamento di per sé non impone nessun obbligo se non la conformità alle nuove direttive, ecco allora che nascono due linee di pensiero sull’interpretazione:

• La nostra attuale legge 196/03, impone molti obblighi simili al nuovo GDPR, quindi espletate le varie formalità e verificato che questi dati rispettino le nuove norme, semplicemente non dobbiamo fare nulla su di essi, salvo appunto rispettarne le finalità e tenerli al sicuro.
• Di tutt’altro avviso è chi dice sia necessario richiedere il consenso, in modo da averlo già GDPR compliant, in quanto appunto la nostra Legge sulla Privacy non è la stessa cosa che il GDPR. C’è da dire che questa interpretazione pone la questione che su migliaia e migliaia di dati, richiedere nuovamente il consenso e in caso negativo andare a cancellare il dato, creando però delle grosse difficoltà gestionali. È anche vero che se il primo metodo si rivelasse infondato, il rischio non sarebbe non avere più il contatto di clienti e potenziali tali (parliamo ovviamente di privati, le aziende in quando persone giuridiche sono escluse), ma incorrere in sanzioni.

Ricordiamo comunque che per il GDPR vige il concetto dell’accountability, si vuole responsabilizzare le aziende, e se si dimostra di fare il possibile anche in caso di mancanze non si viene subito multati.

Per dovere di cronaca diciamo che esiste anche una terza via di pensiero che è quella di cancellare tutti i dati e procedere ad una nuova raccolta che rispetti il GDPR, ovviamente è molto inverosimile e contro produttiva come idea, anche se trova un certo numero di sostenitori, ma schiacciare il bottone rosso del reset non è quello che il Legislatore vuole.

Sottolineiamo che ancora, per le vicende politiche, non esiste il decreto che va a chiarire ciò che il GDPR lascia in generale e da stabilire al Paese membro, la legge che va ad abrogare o a mantenere le porzioni del D. lgs. 196/03 che sono compatibili con il GDPR, magari a quel punto (prima del 25 maggio si spera) sapremo quale delle 2(3) opzioni adottare.

Nella prossima puntata

Per questo articolo è tutto gente! Volevamo trattare qualche altro argomento, ma tra le definizioni della prima parte e i 2 punti di questa, c’è già molto a cui pensare.

Quindi a giorni sarà pubblicata la terza parte, almeno l’ultima per la teoria, poiché c’è da parlare del Registro dei Trattamenti, degli Audit, magari qualche accenno alle posizioni contrattuali. Probabilmente forniremo qualche esempio pratico, ma sicuramente ci sarà un ulteriore articolo per vedere come in pratica si deve procedere alla raccolta dati e come adeguare un sito web.

Grazie per seguire questa nostra avventura nella rivoluzione della Privacy. Se vuoi aggiungere qualcosa, segnalare errori, usa la sezione commenti oppure contattaci anche per avere una consulenza per adeguare ad esempio il tuo sito web.

CONTATTAMI

Se l'articolo ti è piaciuto condividilo sui tuoi social preferiti, segui anche i nostri profili social e non perderti i prossimi interessanti argomenti! Puoi anche lasciare un commento per farci sapere cosa ne pensi.