Valutazione d’impatto - Garante per la protezione dei dati personali: gli specifici casi in cui è obbligatorio il Dpia

Valutazione d’impatto - Garante per la protezione dei dati personali: gli specifici casi in cui è obbligatorio il Dpia
Valutazione d’impatto - Garante per la protezione dei dati personali: gli specifici casi in cui è obbligatorio il Dpia

Lo scorso 11 ottobre con il provvedimento 467 il Garante per la protezione dei dati personali pubblicava un elenco delle tipologie di trattamenti soggetti al requisito della valutazione di impatto, esercitando la facoltà concessa dall’articolo 35, comma 4 del Regolamento UE sulla protezione dei dati 679/2018 (“GDPR”). L’elenco è composto da dodici tipologie di trattamenti, soggetti al meccanismo di coerenza, per i quali vige l’obbligo di effettuare la valutazione d’impatto. 

La valutazione di impatto, nota anche come data protection impact assessment (“Dpia”) – secondo quanto prescritto dal GDPR – è generalmente obbligatoria per il titolare qualora il trattamento, considerate la natura, l'oggetto, il contesto e le finalità dello stesso, può presentare un rischio elevato per i diritti e le libertà degli interessati. 

 

Il Regolamento e il WP29 

All’articolo 35, il Regolamento indica i criteri con cui valutare la necessità di una valutazione di impatto, ovvero:

1. quando si realizza una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione;

2. quando avviene un trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 (dati sensibili, biomedici, genetici) o di dati relativi a condanne penali e a reati di cui all'articolo 10;

3. qualora sia attuata sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Il Working Party ex articolo 29 si era poi espresso sul tema della valutazione di impatto con le Linee Guida WP 248 rev. 01, indicando nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”, in base al quale, qualora ne ricorrano almeno due, sorge la necessità di effettuare la Dpia. 

 

L’elenco del Garante 

Come detto sopra, la casistica fornita dal Garante consta in tutto di 12 casi, che indichiamo a seguire: i trattamenti di dati personali da sottoporre a valutazione di impatto sono quelli

- valutativi o di scoring su larga scala;

- automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, “ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi”;

- che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, profilazione;

- su larga scala di dati aventi carattere estremamente personale, che fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata o che incidono sull’esercizio di un diritto fondamentale, tra questi i dati di geolocalizzazione che potrebbero limitare il diritto di circolazione;

- effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;

- non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);

- effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuali;

- che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;

- effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment);

- che trattano dati appartenenti alle cd. categorie particolari ai sensi dell’articolo 9 oppure di dati relativi a condanne penali e a reati di cui all’articolo 10 interconnessi con altri dati personali raccolti per finalità diverse;

- che trattano in maniera sistematica dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;

- che trattano in maniera sistematica dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento. 

Come sottolineato dal Garante nello stesso testo del provvedimento, l’elenco non è da ritenersi esaustivo.

Infatti per PA e aziende vige l’obbligo di eseguire una Dpia anche quando ricorrono due o più criteri individuati nelle Linee guida WP 248 rev.01 del 2017 oppure qualora il titolare ritenga che il trattamento richieda una valutazione di impatto seppur soddisfi anche solo uno dei criteri.

Il Provvedimento del Garante fa sorgere alcune domande. Ci limitiamo ad esporne una: quali sono i dati definibili come “estremamente personali”? Si auspica a breve un intervento del Garante che fornisca ulteriori chiarimenti e precisazioni, in primis sulla definizione di dato avente carattere estremamente personale. 

(Garante per la protezione dei dati personali, Provvedimento dell’11 ottobre 2018, n. 467)