Associazione Industriali della Provincia di Vicenza - Notizia internet n. VI28525 del 12/05/2018

Cerca nel nostro sito




Home > Notiziario

Notiziario

Cod. notizia:VI28525


12/05/2018

Privacy: trattamenti soggetti a valutazione di impatto sulla protezione dei dati

L'art. 35 del Regolamento UE 2016/679 introduce un adempimento specifico per il trattamento di dati che, prevedendo in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento stesso, può presentare un “rischio elevato” per i diritti e le libertà delle persone fisiche.


In tali casi il titolare del trattamento deve effettuare una preventiva valutazione di impatto sulla protezione dei dati (DPIA - “Data Protection Impact Assessment”).

Approfondimenti

Valutazione di impatto sulla protezione dei dati

La valutazione svolta deve essere documentata (preferibilmente, andrebbero documentati anche i motivi che giustificano l’inesistenza dell’obbligo di valutazione di impatto).
La DPIA deve essere effettuata prima di iniziare il trattamento ed è buona prassi riesaminarla continuamente e rivalutarla con regolarità.
Se nominato, il responsabile della protezione dati (“Data Protection Officer” - DPO) deve essere consultato.

Lo stesso art. 35, al 3° paragrafo, elenca tre casi in cui è sempre richiesta la valutazione di impatto:
  • la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; o
  • il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Tali casi, tuttavia, non esauriscono i trattamenti soggetti alla valutazione.


Linee guida su DPIA: 9 indici

Al fine di agevolare i titolari del trattamento nell'auto-analisi circa la necessità di svolgere o meno una valutazione preventiva, il Gruppo di lavoro dei Garanti europei ha emanato delle “linee guida” in materia (linee guida WP248, rev.01 del 4.10.2017, riportate negli Allegati) fatte proprie dal Comitato europeo per la tutela dei dati, che hanno individuato i seguenti 9 indici presuntivi di elevata rischiosità da tenere in considerazione per identificare i trattamenti che possono presentare un “rischio elevato”.

Costituiscono i 9 indici di “ elevata rischiosità”:
  1. la valutazione o l’assegnazione di un punteggio, inclusa la profilazione basata su "aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”. Ad esempio, nel caso in cui un'impresa crei profili comportamentali degli utenti del proprio sito web per finalità di marketing;
  2. i processi decisionali automatizzati, che producono effetti giuridici sugli interessati o che, in modo analogo, incidono significativamente sugli stessi. Ad esempio, quando il trattamento porta all'esclusione degli interessati da un determinato processo ovvero a una discriminazione nei loro confronti;
  3. il monitoraggio sistematico degli interessati. Ad esempio, quando il trattamento è utilizzato per osservare, monitorare o controllare gli interessati;
  4. in trattamento di dati “sensibili” o di dati aventi carattere altamente personale. In particolare, sono considerati di carattere altamente personale, i dati legati ad attività a carattere personale o domestico (es. le comunicazioni elettroniche), quelli che influenzano l'esercizio di un diritto fondamentale (es. i dati relativi all'ubicazione) e quelli la cui violazione implica gravi ripercussioni sulla vita quotidiana dell'interessato (es. i dati finanziari);
  5. il trattamento di dati su larga scala;
  6. la creazione di corrispondenze o la combinazione di insiemi di dati personali. Ad esempio, quando il trattamento, avente ad oggetto dati derivanti da più attività o da più titolari, viene effettuato per finalità ulteriori rispetto a quelle originarie e con modalità che vanno oltre le ragionevoli aspettative dell'interessato;
  7. i trattamenti di dati relativi a interessati vulnerabili. Ad esempio, i trattamenti dei dati dei minori e i trattamenti in ambito lavorativo;
  8. l’ uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
  9. il trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.

Le linee guida suggeriscono di considerare quale indice di trattamenti da assoggettare alla valutazione di impatto tutte le tipologie in cui ricorrono due o più criteri elencati, fermo restando che il titolare può ritenere che un trattamento che soddisfa anche un solo criterio venga assoggettato alla valutazione di impatto.
Con riferimento all’individuazione del rischio, le Linee Guida chiariscono che il rischio è da riferirsi ai diritti e alle libertà dell’interessato e non già al titolare del trattamento. In particolare, ai fini dell’individuazione del rischio, rilevano non solo i diritti alla protezione dei dati e alla vita privata, ma anche gli altri diritti fondamentali, quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione.
Quanto, poi, alla gestione del rischio, essa viene definita come l’insieme delle attività coordinate volte a indirizzare un'organizzazione in relazione ai rischi individuati.


Trattamenti transfrontalieri

Infine, il Garante privacy italiano, con Provvedimento dell'11.10.2018, ha emanato un elenco positivo (in forza del 4° e 6° paragrafo dell'art. 35) di trattamento soggetti alla valutazione di impatto.
In particolare, l’elenco (allegato) riguarda i trattamenti soggetti al “meccanismo di coerenza” (cd. trattamenti transfrontalieri), vale a dire i trattamenti finalizzati “all’offerta di beni e servizi o al monitoraggio di interessati in più Stati Membri e i trattamenti che possono incidere in maniera significativa sulla libera circolazione dei dati personali all’interno dell’UE” (art. 35, par. 5 e 6 del GDPR).

Nel Provvedimento, l’Autorità sottolinea come l’elenco in oggetto, che individua 12 trattamenti, non sia esaustivo e come i principi generali sulla valutazione di impatto di cui all’art. 35 del GDPR siano in ogni caso prevalenti.
Pertanto, a prescindere da quanto indicato nell’elenco, qualora un trattamento, transfrontaliero o meno, presenti un elevato rischio per i diritti e le libertà degli interessati, il titolare è tenuto a effettuare una DPIA in conformità a quanto previsto nelle “Linee Guida” del WP29 del 4 ottobre 2017, ratificate dal Comitato europeo per la protezione dei dati (cd. Board) il 25 maggio 2018.


Software per esecuzione della DPIA

L'applicativo predisposto (anche in lingua italiana) dall'Autorità di controllo francese (CNIL) per realizzare la valutazione di impatto è liberamente scaricabile al seguente indirizzo attivato dal sito del Garante italiano e che rimanda al sito dell’Autorità francese.

Il Garante italiano, nel proporlo quale strumento utile, ha precisato che “Il software qui presentato NON costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d´impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d´impatto che va integrata in ragione delle tipologie di trattamento esaminate”.





Linee Guida WP248, rev.01 del 4.10.2017Linee-guida concernenti valutazione impatto sulla protezione dati-4-2017.pdfLinee-guida concernenti valutazione impatto sulla protezione dati-4-2017.pdf
Provvedimento Garante 11.10.2018DPIA-delibera trattamenti transfrontalieri-11-10-2018.docxDPIA-delibera trattamenti transfrontalieri-11-10-2018.docx
Provvedimento Garante 11.10.2018 - AllegatoDPIA-elenco trattamenti transfrontalieri- allegato 1.pdfDPIA-elenco trattamenti transfrontalieri- allegato 1.pdf


© Confindustria Vicenza - 2018



Altre notizie sull'argomento

Per maggiori informazioni rivolgersi:
Area Legale e Urbanistica
Piazza Castello, 3 - 36100 Vicenza
tel. 0444 232500 - fax 0444 526155
email: legale@confindustria.vicenza.it