La Data Protection Impact Assessment, meglio nota con l’acronimo di DPIA, è la valutazione di impatto dei trattamenti sulla protezione dei dati personali (valutazione di impatto Privacy). Tale processo consente di valutare la necessità e la proporzionalità di un trattamento nonché la gestione dei rischi per le libertà e i diritti fondamentali delle persone fisiche derivanti da un trattamento dei dati personali. Lo strumento della valutazione d’impatto, inoltre, può essere considerato una delle diverse modalità in cui si declina la c.d. accountability del Titolare e del Responsabile. Alla base della procedura della valutazione di impatto, infatti, c’è l’intento di dimostrare che un trattamento sia conforme alla normativa vigente, tale da riportare una dettagliata analisi dei rischi ed esporre le misure tecniche ed organizzative adottare, da parte di Titolari e Responsabili, per mitigare i rischi identificati., in aderenza alle disposizioni del Regolamento Europeo. In altri termini, la valutazione di impatto sulla protezione dei dati può essere definita come una procedura idonea a dimostrare la conformità di un trattamento al quadro normativo eurounitario. Il riferimento normativo della valutazione di impatto sulla protezione dei dati è da rinvenirsi all’art. 35 GDPR in cui sono fissati i criteri, le condizioni e gli attori coinvolti.
DPIA: Cos’è e chi deve condurla
Come anticipato in apertura del presente contributo, la Valutazione di impatto sulla protezione dei dati (DPIA) si configura come un processo aziendale volto alla individuazione dei rischi derivanti da uno specifico trattamento con conseguente adozione di misure tecniche ed organizzative idonee a mitigare i rischi identificati, sì da consentire un elevato grado di conformità alla normativa vigente dei vari trattamenti effettuati dal Titolare. Quando infatti un trattamento può presentare un elevato rischio per i diritti e le libertà fondamentali degli interessati, il GDPR pone un preliminare obbligo di valutazione dell’incidenza che il trattamento può avere sulla protezione dei dati medesimi.
Sotto il profilo soggettivo, l’art. 35 del Regolamento Ue al paragrafo 1, fissa in capo al Titolare l’obbligo di eseguire la DPIA, quando ricorrono specifiche condizioni. Ma non si esaurisce nell’individuazione del Titolare il novero dei soggetti coinvolti in tale procedura. Accanto al Titolare, infatti, altre figure sono chiamate in causa tra cui, innanzitutto, il Responsabile per la Protezione dei Dati (DPO), laddove nominato, il quale assisterà e coadiuverà il Titolare del trattamento durante tutto il processo della valutazione di impatto; altra figura tenuta ad assistere il Titolare nella DPIA è il Responsabile del trattamento. L’art. 28, paragrafo 3, lett. f) del Regolamento UE 2016/679 pone in capo al Responsabile del trattamento un autonomo obbligo di assistere il Titolare nell’esecuzione della DPIA, tenendo conto delle informazioni a disposizione del Responsabile stesso. Sebbene non è raro, nella prassi, che tale procedura sia condotta in concreto dal Responsabile del Trattamento, giova tuttavia specificare che tale eventualità non esonera il Titolare del trattamento il quale rimane, in ogni caso, il soggetto obbligato ad intraprendere l’iniziativa di condurre una DPIA.
Si può osservare, dunque, come la valutazione di impatto non si configuri come un mero adempimento formale ma rappresenta un vero e proprio processo che garantisce la compliance aziendale al GDPR attraverso cui si concretizza, altresì, il c.d. il principio di responsabilizzazione del Titolare.
DPIA – Quando è obbligatoria
Uno dei princìpi sottesi al Regolamento Generale sulla Protezione dei Dati è quello dell’approccio basato sul rischio. Tale principio si traduce nella necessità di valutare, preventivamente, il contesto in cui avviene il trattamento, la tipologia del trattamento nonché dei mezzi utilizzati, il grado di probabilità della verificazione del rischio cui potrebbero essere esposti gli interessati al fine di individuare tutte quelle misure tecniche ed organizzative idonee a mitigare i rischi rilevati.
Ne discende, dunque, che quando un trattamento presenta elevati rischi per i diritti e le libertà fondamentali degli interessati è obbligatorio condurre la Valutazione di impatto sulla protezione dei Dati Personali (DPIA). Sebbene la lettura dell’art. 35 GDPR non ponga, apertis verbis, un obbligo in tal senso, tuttavia individua delle casistiche in cui la DPIA assume il carattere dell’obbligatorietà. Il paragrafo 3 del richiamato articolo indica alcuni esempi in cui si deve condurre una DPIA, ovvero nel caso di:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- il trattamento, su larga scala, di categorie particolari di dati personali (articolo 9 del GDPR) o di dati relativi a condanne penali e a reati (cfr. articolo 10 del GDPR);
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico
La casistica appena riportata, peraltro, non deve considerarsi esaustiva delle ipotesi in cui si rende obbligatoria una DPIA. Pertanto, il Titolare, anche allo scopo di ponderare la necessità di condurre una Valutazione di impatto, potrebbe fare riferimento alle linee guida sviluppate dal Gruppo di Lavoro ex art. 29 (WP29) della direttiva 95/46/CE (oggi sostituito dall’EDPB). Tra i criteri individuati nelle linee guida stilate dal WP29, idonei a determinare la necessarietà di fare una DPIA vi rientrano, a titolo esemplificativo e non esaustivo, ipotesi di trattamenti su larga scala; processi decisionali automatizzati; dati relativi ad interessi vulnerabili; ipotesi in cui il trattamento impedisce agli interessati di esercitare un diritto o avvalersi di un servizio.
In ogni caso, come suggerito dal WP29 è consigliabile procedere con la DPIA tutte le volte in cui vi siano dubbi circa la necessità di effettuarla, in quanto strumento idoneo a dimostrare l’aderenza alla normativa vigente.
DPIA – Come si conduce
In ossequio al principio di “Privacy by design” la Valutazione di impatto sulla protezione dei dati personali deve essere effettuata prima di procedere ad un determinato trattamento che possa presentare un rischio elevato per i diritti e le libertà fondamentali delle persone fisiche. Il rischio deve intendersi quale scenario di accadimento di un evento, stimato in termini di probabilità e gravità
Ai fini della conduzione di una DPIA, l’art. 35, paragrafo 7, individua il contenuto minimo della stessa.
I vari steps/adempimenti da seguire, al fine di ottenere una DPIA accettabile, possono riassumersi, senza pretesa di esaustività, come di seguito:
DPIA – step by step
Descrizione sistematica del trattamento.
Tale valutazione involge un’analisi della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento. Ed ancora, quali categorie di dati vengono trattati, il periodo di conservazione dei medesimi, quali asset vengono utilizzati per il trattamento dei dati.
Valutazione della necessità e proporzionalità del trattamento.
Questa seconda fase è deputata a determinare quali misure siano state individuate al fine di fronteggiare i rischi collegati ad un trattamento verificando, ad esempio, se gli scopi del trattamento sono espliciti e legittimi, se i dati raccolti sono adeguati e pertinenti in relazione alle finalità per cui i medesimi sono stati raccolti, quali sono le basi giuridiche, quali sono i tempi di conservazione dei dati, se è previsto un trasferimento di dati extra Ue, quali modalità per l’esercizio dei diritti da parte degli interessati
Gestione dei rischi per i diritti e le libertà degli interessati.
Qui si convoglia la centralità della DPIA in quanto è in questa fase che vengono determinate l’origine, la natura, la gravità del rischio c.d. R.I.D. ovvero rischio di perdita di riservatezza, integrità e disponibilità del dato; il livello di impatto sulle persone e la sua gravità, secondo una scala di livello (es. basso, medio, alto) e la successiva adozione di adeguate misure al fine di mitigare i rischi rilevati.
Monitoraggio, revisione e implementazione.
L’analisi e l’esito della DPIA è oggetto di periodica valutazione che potrebbe richiedere anche l’implementazione delle originarie misure tecniche ed organizzative adottate per mitigare i rischi rilevati.
Alla luce di quanto sinteticamente esposto, emerge che la valutazione d’impatto sulla protezione dei dati deve essere effettuata con un approccio teso al miglioramento continuo anche in ottica delle continue evoluzioni tecnologiche ed evoluzione del contesto.
Da qui anche la necessità di formalizzare e documentare i risultati di volta in volta elaborati e i risultati ottenuti
DPIA – Quali sanzioni in caso di errata o mancata DPIA
Come rilevato nel corso del presente elaborato, la valutazione di impatto per la protezione dei dati personali è la cartina tornasole dell’accountability del Titolare e del Responsabile e, più in generale, del livello di compliance alla legislazione eurounitaria in materia di protezione dei dati personali.
E’ stata altresì indagata la necessità di condurre una DPIA in presenza di specifiche condizioni ai sensi dell’art. 35 GDPR. Quid iuris cosa accade nel caso in cui, in presenza di determinate condizioni un Titolare o un Responsabile si sottraggano all’obbligo di effettuare una valutazione di impatto sulla protezione dei dati personali?
Per rispondere all’interrogativo occorre fare riferimento al catalogo di sanzioni che il legislatore europeo ha previsto in caso di inosservanza delle disposizioni di cui al Regolamento Ue.
Preliminarmente occorre precisare che le sanzioni contenute nel GDPR sono di natura amministrativa, restando in capo ad ogni singolo Stato membro la competenza in materia penale.
Per quanto qui d’interesse, la mancata esecuzione di una DPIA dove richiesto costituisce una violazione del Regolamento e potrebbe tradursi in una sanzione pecuniaria fino al 2% del fatturato annuo globale dell’organizzazione o fino a 10 milioni di euro, a seconda di quale valore sia maggiore.
Link utili:
- https://www.garanteprivacy.it/valutazione-d-impatto-della-protezione-dei-dati-dpia-
- https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/when-data-protection-impact-assessment-dpia-required_it
- https://ec.europa.eu/newsroom/article29/items/611236
Domande Frequenti
La DPIA o valutazione di impatto sulla protezione dei dati è un processo che consente di valutare la necessità e la proporzionalità di un trattamento nonché la gestione dei rischi per le libertà e i diritti fondamentali e l’impatto sulle persone fisiche in seguito ad un trattamento di dati personali.
Quando un trattamento presenta elevati rischi per i diritti e le libertà delle persone è necessario condurre la DPIA. E’ necessaria almeno nel caso di: a) una valutazione sistematica ed esaustiva degli aspetti personali di una persona, compresa la profilazione; b) il trattamento di dati sensibili su vasta scala; c) il monitoraggio sistematico e su vasta scala degli spazi pubblici
Il Titolare del Trattamento, avvalendosi del supporto del DPO, nonché il Responsabile del Trattamento.
In alcuni casi, ad esempio quando un soggetto progetta o rende disponibile un servizio o un prodotto che potrebbe esporre gli interessati a rischi rilevanti, anche se poi si configura quale reponsabile del trattamento, redigendo una DPIA potrà dimostra la propria aderenza al GDPR ed anche quella del servizio o prodotto in questione.
A norma dell’art. 35 paragrafo 7 GDPR , la DPIA dovrebbe contenere almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione