Il Garante italiano ha pubblicato oggi il provvedimento a carattere generale approvato l’11 novembre scorso e riguardante l’Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, altrimenti nota come data protection impact assessment – DPIA.
Il provvedimento è emanato ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 – GDPR. In base a tale disposizione, ogni autorità di controllo “redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68“. Trattasi, dunque, di una facoltà concessa dal GDPR grazie alla quale le supervisory authority degli stati membri possono creare elenchi “customizzati” in considerazione delle esigenze e delle normative locali. Il Comitato dei Garanti Europei (EDPB – European Data Protection Board) ha il compito di vagliare queste liste per accertare che l’esercizio di tale discrezionalità non porti ad una sostanziale condizione di inconsitency; in altre parole, il Board deve curare che gli elenchi presentati dai paesi membri non risultino incoerenti tra loro perché un eccesso di differenziazione o di “localizzazione” andrebbe a detrimento del principio di protezione equivalente del cittadino europeo (mentre il GDPR è nato per imporre lo stesso livello di data protection nei vari stati membri).
In ossequio a siffatti meccanismi, il Garante italiano aveva provveduto a stilare il proprio elenco e a comunicarlo all’EDPB che, a sua volta, nella Opinion 12/2018 pubblicata il 3 ottobre scorso, aveva segnalato alcuni correttivi da apportare alla lista, specie invitando il Garante a restringere e/o precisare alcune aree di obbligatorietà giudicate eccessivamente ampie.
Il Garante ha fatto proprie le indicazioni del Board europeo e ora la lista può dirsi pronta.
E’ un provvedimento molto importante e destinato ad impattare non poco sulle attività di compliance cui sono chiamate PA e aziende che effettuano determinati trattamenti considerati maggiormente a rischio. L’organizzazione che esegua attività sui dati personali rientranti nelle 12 macro-tipologie di trattamento riportate nell’elenco, dovrà necessariamente eseguire un data protection impact assessment – DPIA ai sensi dell’art. 35 del GDPR (in tema, si veda anche la pagina informativa del Garante), pena l’esposizione alle pesanti sanzioni previste dal Regolamento stesso.
Questo l’elenco dei trattamenti assoggettabili a DPIA riportato l’Allegato 1 del provvedimento:
- Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
- Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
- Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
- Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
- Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).
- Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo)
- Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01.
- Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
- Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment ).
- Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
- Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
- Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
Come si evince, il novero delle attività di data processing che impongono l’esecuzione di un DPIA è piuttosto nutrito. E’ presto per lanciarsi in interpretazioni sul perimetro di questa o quella voce, ma – a nostro avviso – pare pacifico che in alcuni casi non sarà agevole per gli operatori capire la reale portata applicativa dell’obbligo.
Di certo, il linguaggio utilizzato dal provvedimento dovrà essere costantemente letto ed interpretato alla luce delle Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679 del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (documento rubricato “WP248rev. 01”). Anche perché – come sottolinea il Garante nel provvedimento stesso – l’elenco, che è in corso di pubblicazione nella Gazzetta ufficiale, non è da ritenersi esaustivo. PA e aziende, infatti, hanno l’obbligo di eseguire una DPIA anche quando ricorrano due o più criteri individuati nelle Linee guida WP248rev.01 del 2017 oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto.
Ciò detto, si auspica che il Garante supporti nei prossimi tempi le organizzazioni con chiarimenti e precisazioni autentiche perché se è innegabile che nel dubbio è sempre meglio eseguire una DPIA, è altrettanto vero che condurre una Valutazione di Impatto ha un costo (di tempo e/o di denaro) e le aziende hanno bisogno di certezze sulla portata dell’obbligo e, conseguentemente, sull’alveo di esposizione al minaccioso apparato sanzionatorio del GDPR.