La valutazione d’impatto che le startup dovranno effettuare per proteggere i dati personali, così come previsto dall’art. 35 del Regolamento Europeo n.2016/679 (c.d. GDPR), consiste in un processo volto a descrivere i trattamenti, valutarne la necessità e la proporzionalità e aiutare a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento, valutandoli e determinando le misure per indirizzarli.
Tale valutazione, detta anche DPIA, è uno strumento importante per l’accountability, in quanto non solo aiuta i titolari a rispettare i requisiti del GDPR, ma anche a dimostrare che sono state adottate misure appropriate per garantire il rispetto del regolamento.
In sostanza, si tratta di un processo per costruire e dimostrare la propria compliance alla normativa in materia di trattamento di dati personali.
Con l’introduzione dell’istituto della valutazione d’impatto sulla protezione dei dati personali, il GDPR ha sostanzialmente sostituito l’istituto della notifica preliminare previsto dal Codice Privacy per il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato (in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare). Tale verifiche preliminari sono state ad esempio chieste per trattare dati personali per finalità di profilazione per un tempo superiore a 12 mesi o utilizzare un sistema di “controllo accessi biometrico facciale” per consentire l’ingresso ad uno stabilimento esclusivamente al personale autorizzato.
Nonostante tale istituto della notifica preliminare sia stato di fatto sostituito nel GDPR dall’obbligo, gravante in capo al Titolare, di effettuare la valutazione d’impatto, l’obbligo di consultazione del Garante è rimasto residuale ai sensi dell’art. 36 per le ipotesi in cui la valutazione d’impatto indichi che il trattamento presenterebbe un rischio elevato che non può essere attenuato con misure opportune in termini di tecnologia disponibile e costi di attuazione (cfr. considerando 84).
Precisato quanto sopra, è bene sottolineare che, in linea con il risk-based approach di cui al GDPR, la DPIA non è obbligatoria per tutte le operazioni di trattamento ma è richiesta qualora il trattamento, allorché prevede di utilizzare in particolare l’uso di nuove tecnologie, comporta un rischio elevato per i diritti e le libertà delle persone fisiche. In tal senso il WP29 – organismo consultivo indipendente, istituito dall’art. 29 della direttiva europea 95/46 con il compito, fra l’altro, di formulare linee-guida e documenti di indirizzo riguardo le varie tematiche connesse alla protezione dei dati – è intervenuto con le Linee Guida in materia di DPIA adottate il 4 aprile 2017 e riviste il 4 ottobre 2017 (WP248 rev.01), allo scopo di aiutare i titolari a conformarsi al GDPR ed assicurare una coerente interpretazione dei casi in cui la DPIA è obbligatoria.
L’art. 35, co. 3 del GDPR fornisce alcuni esempi di trattamenti che possono presentare un rischio elevato. Ciò vale con riferimento alle seguenti ipotesi:
- valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
- sorveglianza sistematica su larga scala di una zona accessibile al pubblico
Il WP29 ha precisato che, come indica l’utilizzo del termine «in particolare», non si tratta di un elenco esaustivo e ha pertanto fornito sei suggerimenti che i titolari potrebbero utilizzare per comprendere se debba essere effettuata o meno la valutazione d’impatto.
Nell’ottica di venire incontro alle imprese, il WP29 ha fornito un set più concreto di operazioni che ritengono richieda una DPIA a causa dell’elevato rischio che potrebbero comportare per i diritti e la libertà delle persone. In tal senso, dovrebbero essere tenuti in considerazione una serie di criteri, tra cui i dati che riguardano soggetti vulnerabili (bambini, dipendenti, pazienti, richiedenti asilo, etc) e in tutti i casi in cui c’è uno squilibrio nella posizione tra gli interessati e titolari in quanto gli individui potrebbero essere incapaci di opporsi al trattamento ed esercitare i propri diritti. Un altro criterio da tenere in considerazione è se s’intenda trattare su larga scala categorie particolari di dati o dati relativi a condanne penali. Fermo restando che il GDPR non fornisce una definizione di trattamento su larga scala, il considerando 91 offre due estremi:
- si considerano su larga scala quei «trattamenti che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati»
- non si considera su larga scala quel «trattamento di dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato»
Tra questi due esempi, però, vi è un’ampia zona grigia, così come riconosciuto dallo stesso WP29, che ha quindi raccomandato di tenere conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala:
- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell’attività di trattamento;
- la portata geografica dell’attività di trattamento.
È bene sottolineare che, in talune ipotesi, una startup può aver già iniziato un trattamento prima della data di applicabilità del GDPR (25 maggio 2018). In tal caso, da un punto di vista puramente formale, tali trattamenti non richiederebbero l’effettuazione di una valutazione d’impatto sulla protezione dei dati, ma, nonostante ciò, è fortemente raccomandabile effettuare una DPIA anche in relazione a tali trattamenti secondo quando indicato dal WP29. Inoltre, qualora insorgano variazioni del rischio, ove necessario, si dovrà procedere ad un riesame per valutare se il trattamento è conforme alla DPIA.
In generale, costituisce sicuramente una buona prassi porre in essere la DPIA almeno ogni 3 anni, valutando comunque le circostanze del caso concreto e i cambiamenti verificatisi.
Contributor: Francesca Piro, Legal consultant P4I
