Nell’aprile del 2017 il WP29, nell’esercizio di una delle sue funzioni tipiche mirata a fornire linee interpretative uniformi su aspetti chiave del sistema normativo comunitario in tema di protezione dei dati, ha pubblicato le linee guida sul Data Protection Impact Assessment – DPIA (WP248 – 17/EN) previsto dall’art. 35 del Regolamento europeo 2016/679 – GDPR.
La richiamata norma richiede che il titolare, prima di avviare un trattamento che – “allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità – può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, operi una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.
Dunque l’obbligo dell’adozione di DPIA è conseguente all’alto rischio per i diritti e le libertà delle persone che i trattamenti possono ingenerare, oltre che espressamente previsto in tre casi specifici elencati nella norma (trattamenti che comportino una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; trattamenti, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; trattamenti che operino la sorveglianza sistematica su larga scala di una zona accessibile al pubblico).
Il GDPR indica il contenuto minimo che detto documento deve avere, espressamente richiedendo una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, una valutazione dei rischi per i diritti e le libertà degli interessati, oltre che una descrizione delle misure di sicurezza applicate.
Quello che appare chiaro, sia dalla lettura della norma che dalle indicazioni pubblicate dal WP29, è che al DPIA deve essere riconosciuto una valenza doppia. Per un verso ha le caratteristiche di un “processo”, cioè di un’attività organizzata continuativa e finalizzata all’aggiornamento, miglioramento e adattamento del documento al variare dei presupposti che lo hanno reso necessario, o opportuno (on-going process – cfr. WP248 – 17/EN). Per altro verso, se vogliamo sotto un profilo statico e non dinamico, è uno strumento di cruciale importanza per garantire la compliance normativa delle operazioni di trattamento e per poter fornire prova della stessa (an important tool for accountability – cfr. WP248 – 17/EN).
Anche sul piano della periodicità di aggiornamento, il GDPR non fissa periodi limite entro cui il titolare sia chiamato a provvedere ma, secondo il principio di responsabilizzazione che permea di sé il nuovo assetto normativo, affida l’onere della verifica della necessità di interventi modificativi al titolare, o al responsabile. In realtà le linee guida indicano un periodo limite di 3 anni entro cui procedere alle revisioni, ma solo in termini di opportunità (it should be re-assessed after 3 years, perhaps sooner… – cfr. WP248 – 17/EN).
Proprio in considerazione delle larghe maglie del sistema disposto dal Regolamento, il WP29 – volendo dichiaratamente anticipare e favorire interventi di uguale natura e finalità da parte dell’European Data Protection Board (EDPB), ha inteso fornire indicazioni più precise agli operatori per individuare con maggiore certezza i casi in cui la predisposizione di un DPIA debba considerarsi un obbligo e secondo quali modalità e procedure debba essere condotto.
L’intento, certamente da accogliere con favore, è quello di proporre un’interpretazione uniforme sul piano comunitario delle regole del GDPR – in questo caso in materia di valutazioni d’impatto preliminari – e di giungere ad individuare tipologie comunemente riconosciute di trattamenti da sottoporre a DPIA e metodologie condivise da seguire nella loro produzione.
Come detto, il principio generale che determina l’obbligo di DPIA afferma che un trattamento debba prevederlo necessariamente quando è probabile che esso produca un alto rischio per i diritti e le libertà delle persone fisiche (likely to result in a high risk to the rights and freedoms of natural persons).
Questa enunciazione evidenzia una volta di più l’approccio risk-based a cui è improntato il Regolamento Europeo. Cioè non tutte le misure sono sempre obbligatoriamente applicabili ad ogni trattamento, ma gli obblighi dei titolari, e dei responsabili, variano al variare di caratteristiche oggettive del trattamento medesimo o soggettive degli interessati, e a seconda della probabilità e gravità di rischi per la sfera personale degli individui che ne discendono.
Dunque, sul piano pratico, la produzione di un DPIA deve prendere le mosse da un’analisi atta a valutare le caratteristiche del trattamento e tale da poter fornire la risposta al quesito di partenza: esclusi i casi tipici di cui al comma 3 dell’art 35 GDPR, è o no probabile che le operazioni di trattamento che ci si accinge a compiere (si ricordi che anche il DPIA deve precedere l’avvio delle operazioni di trattamento) possano comportare un alto rischio per i diritti e le libertà delle persone?
Ad agevolare il compito interpretativo degli operatori, le linee guida in esame richiamano alcune circostanze “sintomatiche” che possono indurre a ritenere ad alto rischio i trattamenti relativi. Ad esempio, qualora questi comportino valutazioni o punteggi, soprattutto se riguardano performances sul lavoro o situazioni economiche, o abitudini, o l’ubicazione, o gli spostamenti; nel caso di sistemi automatizzati in grado di porre processi decisionali e/o produrre effetti nella sfera giuridica degli individui; di fronte ad operazioni di monitoraggio sistematico, soprattutto in aree pubbliche o ad operazioni di trattamenti di dati su larga scala (il WP29 ricorda che per definire il concetto di “larga scala” occorre tener in conto, tra l’altro, il numero dei dati trattati, il numero di interessati coinvolti, l’estensione territoriale dei trattamenti, la durata o la permanenza degli stessi).
Ancora, sintomatiche di alto rischio sono considerate le operazioni che comportino combinazione o commistione di diverse banche di dati, come pure quelle che fanno ricorso a metodologie innovative, con espresso riferimento all’Internet delle Cose che porta con sé alto rischio per i diritti delle persone. Altri trattamenti segnalati come “a rischio” sono quelli relativi a soggetti deboli quali possono essere considerati gli incapaci, interdetti, inabilitati, minori o, in generale, tutti i soggetti rispetto ai quali si pone un rilevante grado di squilibrio di “potere” rispetto al titolare del trattamento (ad es. soggetto debole può esser anche considerato un lavoratore nei confronti del proprio datore di lavoro). In egual modo devono essere considerati i trattamenti che operano trasferimenti di dati verso paesi terzi extra UE, o quelli che in sé comportano la limitazione di diritti degli interessati (si pensi ai sistemi di informazioni creditizie e al possibile impedimento all’accesso al mercato del credito che possono generare).
Al ricorrere di circostanze come quelle sopra richiamate, il WP29 avverte che si potrebbe essere in presenza di obbligo di DPIA. Si potrebbe, ancora una volta, non si è! Si tratta ancora solo di parametri di riferimento che se ricorrono almeno in numero di due, suggerisce il WP29, dovrebbero far ritenere il trattamento ad alto rischio. In ogni caso, viene ribadito, quello proposto nelle linee guida è solamente un criterio di valutazione e non una regola operativa. Conseguentemente, anche il ricorrere di solo una delle circostanze considerate potrebbe far sorgere obbligo di DPIA o, al contrario, potrebbero non ricorrere i presupposti di obbligatorietà alla presenza di più di due delle situazioni sopra esemplificate; tutto in ragione delle caratteristiche del caso concreto che è responsabilità del titolare valutare.
Certamente indiscutibile è, ferme tutte le altre considerazioni, che il DPIA assume un ruolo centrale ai fini della compliance e del rispetto dei principi introdotti dal GDPR, primo tra tutti quello di accountability. Ruolo centrale che il DPIA condivide – tra gli altri – con un altro strumento di nuova introduzione, previsto dall’art. 30 GDPR, che è il registro dei trattamenti. Entrambi, infatti, pur rimanendo assolutamente autonomi e strettamente mirati a finalità diverse, si pongono come elementi essenziali ad una completa responsabilizzazione e ad una piena capacità di rendicontazione del titolare. Non sfuggirà come ambedue debbano contenere una descrizione dei trattamenti, o delle finalità degli stessi, assieme a una descrizione delle tipologie di misure adottate o della tipologia dei dati o delle categorie di interessati. Ovviamente questi caratteri comuni non devono indurre nell’errore di confondere o non cogliere le differenze profonde dei due istituti, l’uno con un più accentuato profilo di evidenza statica, l’altro come prodotto di un processo dinamico, valutativo continuativo, ed inoltre giustificato da presupposti differenti.
La centralità che assume nella descritta attività di valutazione il risk assessment ed il risk-address non deve indurre a ritenerla sovrapponibile all’attività di valutazione del rischio di cui alla normativa attualmente in vigore. Nella previsione del regolamento UE, oggetto della valutazione è il trattamento in sé considerato, a prescindere dall’eventuale verificarsi di un evento di danno. Deve essere valutato il rischio insito nel trattamento nella sua fisiologia e non nella sua patologia.
A parere di chi scrive, se è vero che le linee guida del WP29 pongono rilevanti elementi di chiarezza, è anche vero che questi rimangono su piani comunque non risolutivi. Ciò che si vuol rilevare è che il lavoro, comunque pregevole, del Gruppo art. 29, non sarà sufficiente a rendere meno gravoso il compito dei titolari, dei responsabili, se esistenti dei DPO, nel ricercare le giuste metodologie per una corretta applicazione della normativa ai casi concreti.
Probabilmente, quantomeno allo stato dell’arte e salvi ulteriori indirizzi forniti in futuro anche dal EDPB, o dal Comitato di cui all’art. 68 del GDPR, o dalle Autority nazionali, proseguirà la pratica – certamente per nulla apprezzabile – di applicare, o far applicare, “nel dubbio”, un rigore di misure o di processi organizzativi e tecnici non necessari ed eccessivi rispetto alla giusta proporzione che avrebbe comunque garantito il pieno rispetto delle norme e soprattutto la completa tutela dei diritti degli interessati. Ciò con effetti certamente non benefici nei confronti dei titolari, costretti (o indotti) ad esempio a ritardare l’avvio delle operazioni senza ragione, a destinare risorse umane ed economiche ad attività inutili o a gravare oltremodo le operazioni di trattamento senza peraltro tangibili vantaggi per gli interessati ai quali sarebbe garantita comunque adeguata tutela.
Certamente nella direzione di una possibile applicazione uniforme della norma e adozione di metodologie condivise va anche la recentissima emissione dello standard internazionale Iso/Iec 29134/2017 del mese di giugno di quest’anno, che potrà anche diventare uno strumento utile nella standardizzazione di metodi e pratiche operative in tema di redazione e produzione di valutazioni d’impatto, pur non potendo che rimanere riferimenti principali – per una piena compliance normativa – il Regolamento, la produzione del WP29, quella del EDPB, del costituendo Comitato ex art. 68 GDPR, delle Autority e delle Corti comunitarie e nazionali.
