venerdì 18 maggio 2018

UN MINUTO DI PRIVACY - La valutazione di impatto sulla protezione dei dati (PIA): di cosa si tratta?

Una delle più importanti novità introdotte dal GDPR (art. 35) è la DPIA (“Data Protection Impact Assessment”), conosciuta anche come “PIA” (“Privacy Impact Assessment”).

Si tratta sostanzialmente di una valutazione sull’impatto che un determinato trattamento potrebbe avere sulla privacy degli interessati, al fine di verificare l’adeguatezza delle misure tecniche e organizzative in essere o che si intende adottare per gestire i rischi rilevati. Quando il rischio residuale per i diritti e le libertà degli interessati resta elevato sarà onere del titolare interpellare l’Autorità Garante.

La PIA deve essere effettuata prima dell’inizio del trattamento (ma è consigliata anche per i trattamenti già in atto al momento dell’applicazione del GDPR), in particolare, in due casi:

- quando il trattamento prevede l’utilizzo di una nuova tecnologia;

- quando il trattamento può presentare un elevato rischio per i diritti e per le libertà degli interessati

Occorre quindi in ogni caso una valutazione preliminare dei trattamenti per individuare i casi concreti in cui ricorrano le condizioni che rendono necessaria la PIA. Ma ciò non è sempre agevole. 

Cosa si intende innanzitutto per trattamenti “a rischio elevato”?

Sebbene tale nozione non sia stata definita nel Regolamento, il paragrafo 3, dell’art. 35 del GDPR e il considerando 91 descrivono alcune circostanze specifiche per le quali deve essere condotta una PIA:

a) quando vengano prese decisioni riguardanti determinate persone fisiche in seguito a una valutazione sistematica e globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati;

b) se il trattamento riguarda categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza;

c) per la sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante dispositivi optoelettronici;

d) per tutti trattamenti che l’autorità di controllo ritiene possano presentare un rischio elevato per i diritti e le libertà degli interessati, specialmente perché impediscono a questi ultimi di esercitare un diritto o di avvalersi di un servizio o di un contratto, oppure perché sono effettuati sistematicamente su larga scala.

A norma dell’art. 31, comma 7, del GDPR la valutazione deve contenere almeno:

- una descrizione sistematica dei trattamenti e delle finalità, compreso l’interesse legittimo perseguito dal titolare;

- una valutazione circa la necessità e proporzionalità dei trattamenti in relazione alla loro finalità;

- una valutazione dei rischi per i diritti e le libertà degli interessati;

- le misure previste per affrontare i rischi (garanzie, misure di sicurezza etc), nonché i meccanismi per garantire la protezione dei dati personali e la conformità al Regolamento.

Il GDPR specifica come la PIA non sia obbligatoria se il trattamento di dati personali non avviene su larga scala (altro concetto di non facile interpretazione): per fare alcuni esempi i dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato possono essere considerati esempi di trattamento non su larga scala e non richiedono pertanto al titolare di espletare tale adempimento.

Si segnala che sul sito del Garante è reperibile un link  (http://www.garanteprivacy.it) che permette di scaricare in lingua italiana un programma, predisposto dall’Autorità di controllo francese (CNIL) che consente di svolgere questo tipo di valutazione in modo guidato. Non è ovviamente una soluzione garantita, perché la responsabilità dell’adeguatezza dell’analisi resta in ogni caso in capo al titolare. Ma troviamo che sia uno spunto molto interessante.