Valutazione impatto privacy: le linee guida del Gruppo di lavoro ex art. 29

Una delle novità più incisive tra quelle previste dal nuovo Regolamento Ue, n. 679/2016 (GDPR) in materia di protezione dei dati personali, entrato in vigore il 25 maggio 2016 e che sarà pienamente applicabile dal 25 maggio 2018 in tutti gli Stati membri dell’Unione europea, è la cosiddetta ‘valutazione di impatto privacy’ che si inserisce nel più ampio contesto della responsabilizzazione (accountability) di titolari e responsabili nell’adozione di comportamenti  cosiddetti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento in questione.

Le Autorità di protezione dati europee, riunite nel Gruppo di lavoro ex art. 29, hanno adottato le Linee guida che aiuteranno amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).

La DPIA, introdotta appunto dal Regolamento europeo 2016/679, consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche. La DPIA diventa uno strumento fondamentale di cruciale importanza: aiuta il titolare non soltanto a rispettare le prescrizioni del Regolamento europeo, ma anche a dimostrare l’adozione di misure idonee a garantirne il rispetto.

In altri termini, la DPIA è una procedura che permette al titolare di realizzare e dimostrare la conformità del trattamento alle norme. Non è obbligatorio condurre una DPIA per ogni singolo trattamento. Essa è però necessaria se il trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. È al tempo stesso però possibile utilizzare un’unica DPIA per valutare più trattamenti che presentino delle analogie (ad esempio, un gruppo di autorità locali che decidano di installare ciascuna un analogo sistema di videosorveglianza).

Un’analisi di impatto privacy può altresì essere utile anche per valutare l’effetto di un nuovo dispositivo tecnologico e in ogni caso, a prescindere dalla sua obbligatorietà, la DPIA rappresenta una buona prassi sia per le Pubbliche amministrazioni che per le imprese, che così si trovano a fare una valutazione ex ante ed evitano di incorrere in violazioni.

Per assicurare un’interpretazione uniforme dei casi in cui la DPIA è obbligatoria, i Garanti Ue hanno fornito anche alcuni criteri  in vista dell’elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono tenute ad adottare (ad es., trattamenti valutativi, compresi lo scoring e la profilazione; decisioni automatizzate dalle quali possono derivare discriminazioni per gli interessati; monitoraggio sistematico; trattamenti su larga scala, in particolare di dati sensibili).

L’inosservanza degli obblighi concernenti la DPIA può comportare l’imposizione di sanzioni pecuniarie da parte delle Autorità garanti nazionali e, qualora si verificasse uno svolgimento dell’analisi non corretta, un mancato svolgimento della stessa (quando il trattamento è soggetto a tale valutazione), o la mancata consultazione dell’Autorità di controllo competente ove ciò sia necessario, comporterebbe l’applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro  e, se si tratta di un’impresa, fino al 2% del fatturato globale annuo.

Pamela La Farciola