A quasi due anni dall’entrata in vigore del Regolamento GDPR 2016/679/UE occorre effettuare necessariamente delle riflessioni sullo stato dell’arte della sua applicazione, anche in virtù del momento storico eccezionale in emergenza COVID 19 in cui ci troviamo.
L’emergenza Corona virus ha cambiato la quotidianità di ogni singolo individuo dai bambini agli adulti, non facendo alcuna distinzione, partendo dalla didattica a distanza sino all’utilizzo di applicazioni che inevitabilmente incidono nell’ambito della riservatezza o privacy.
In questo contesto il Garante per la protezione dei dati personali si è più volte espresso in merito alle piattaforme per quanto concerne la didattica a distanza per esempio, ma anche sulle applicazioni (da ultimo quella paventata dal governo App Immuni su base volontaria) ed, infine, sul trattamento del dato sanitario in emergenza COVID 19.
Nonostante l’eccezionalità del momento, oggi, più che mai, occorre fare il punto della situazione relativamente ai rischi connessi al trattamento dei dati e come una corretta valutazione DPIA (Data Protection Impact Assessment) sia fondamentale per adottare trattamenti dei dati conformi alla normativa europea ed in applicazione al cd. principio di accountability.
L’art 35 del richiamato Regolamento, infatti, introduce il concetto di valutazione d’impatto DPIA sulla protezione dei dati in capo al Titolare del trattamento, assegnando al DPO il compito di essere consultato e, se richiesto, quello di fornire un parere scritto in merito.
Ma quando la Valutazione DPIA si rende necessaria? E quali sono i criteri conformi per effettuare la valutazione? Queste sono le domande a cui cercheremo di dare risposta.
Per quanto riguarda la prima domanda, bisogna rilevare che non tutti i trattamenti devono essere sottoposti alla valutazione d’impatto, ma solo quelli indicati dall’art 35, paragrafo 3, del GDPR 679/2016/UE[1].
Successivamente è intervenuto sia il Gruppo di lavoro ex art 29, Direttiva 95/46/CE, il quale ha redatto le linee guida WP 248[2], che il Garante per la protezione dei dati personali con il provvedimento n. 467 del 11.10.2018[3] fornendo chiarimenti interpretativi sulle tipologie di trattamenti da sottoporre alla valutazione d’impatto.
Passiamo ora alla disamina dei criteri da utilizzare nello svolgimento della valutazione.
Nel silenzio della normativa comunitaria, come quella nazionale, occorre prendere come modello di riferimento quanto previsto nel richiamato WP29, ed in particolare l’allegato 2.
Il Gruppo di lavoro comunitario ha previsto un tracciato chiaro modello dei criteri da utilizzare quando si effettua una valutazione DPIA, ma lasciando al contempo al titolare del trattamento libertà circa la metodologia che intende perseguire.
Il criterio che deve essere sempre seguito per effettuare una corretta valutazione d’impatto sui rischi deve necessariamente procedere in tre direzioni: 1) effettuare uno studio del contesto di partenza di dati trattati, dei processi utilizzati per raccogliere i dati e dei supporti sui quali vengono conservati i dati; 2) effettuare uno studio sul rispetto dei principi fondamentali inviolabili, valutando la proporzionalità e la necessità del dato trattato che non violino il diritto alla riservatezza; 3) effettuare uno studio sui rischi per la sicurezza dei dati, se in particolare le misure esistenti o previste siano sufficientemente adeguate a limitare il rischio.
Sulla base delle risultanze ottenute potrà, poi, essere redatto un coerente parere da parte del DPO sulla valutazione dei rischi, suggerendo, se del caso, al Titolare del trattamento i correttivi da porre in essere per rispettare i principi fondamentali, gestire correttamente i rischi riducendoli per quanto possibile e rendere, perciò, il trattamento conforme.
[1] La normativa prevede che sono soggetti alla valutazione DPIA i trattamenti che prevedono a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9 o di dati relative a sentenze di condanna di cui all’art 10; c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
[2] www.interlex.it/2testi/autorit/wp248dpia.pdf
[3] www.garanteprivacy.it/docweb/-/docweb-display/docweb/9058979. Per quanto concerne il nostro interesse si rimanda unicamente al punto 6 del richiamato provvedimento del Garante in cui, tra i trattamenti che necessariamente sono da sottoporre alla valutazione d’impatto, rientrano, tra l’altro, quelli non occasionali di dati relativi a soggetti vulnerabili, quali minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo.
