L’Autorità Garante ha elaborato l’elenco dei trattamenti sottoposti all’obbligo di preventiva DPIA – risvolti pratici e considerazioni di accountability

Background:

L’Autorità Garante, in adempimento a quanto previsto all’art. 35(4) GDPR, in data 11 ottobre 2018 ha emanato l’elenco contenente gli ulteriori (rispetto a quelli previsti all’art. 35(3)) trattamenti che richiedono la preventiva valutazione d’impatto (DPIA) dopo avere positivamente recepito il parere e le direttive del Comitato Europeo per la Protezione dei Dati del 25 settembre 2018 (v. ICT Insider di ottobre).
Ciascuna Autorità nazionale era stata infatti chiamata ad individuare quali tipologie di trattamento richiedano, prima di essere poste in essere, la valutazione d’impatto sulla protezione dei dati (“DPIA”), redigendone un elenco. Tale elenco doveva essere trasmesso al Comitato Europeo affinché questi, nel vagliare la discrezionalità lasciata alle singole Autorità nazionali, garantisse una sorta di uniformità e coerenza applicativa del GDPR in tutto il territorio dell’Unione.
L’elenco oggi pubblicato è quindi l’esito del recepimento del parere del Comitato, mediante il quale questo ha espresso le proprie considerazioni in merito alle tipologie di trattamenti individuati ed inseriti proprio al fine di garantire quell’uniformità applicativa richiesta dal GDPR stesso.

Invero, nelle more tra la previsione del predetto adempimento richiesto dal GDPR alle singole Autorità, e l’effettiva pubblicazione dell’elenco, un primo aiuto all’interprete nell’individuare i trattamenti che ricadono sotto lo spettro della DPIA era stato fornito dal Gruppo di Lavoro ex Art. 29 (WP29 – oggi European Data Protection Board – di seguito “EDPB”) n. 248. Guidato dal medesimo intento di creare una certa uniformità applicativa del GDPR tra i vari Paesi, individuava infatti alcuni esempi in cui la DPIA avrebbe dovuto essere posta in essere (a titolo esemplificativo test di screening genetici, creazione di profili basati sul comportamento online, uso innovativo di nuove tecnologie, decisioni automatizzate che impediscono all’interessato l’accesso a nuovi servizi ecc.) definendo contestualmente 9 “criteri” orientativi. Il ricorrere di almeno due criteri congiuntamente, sarebbe indice di un “rischio elevato” per i diritti e le libertà delle persone fisiche, presupposto che, ex art. 35(1) GDPR, comporta appunto l’obbligo di effettuare la DPIA.

Questioni principali:
Prima di scendere nel dettaglio, è opportuno tratteggiare le caratteristiche della DPIA al fine di far comprendere meglio l’adempimento e, soprattutto, gli effetti pratici dell’elenco stesso.

La valutazione d’impatto, disciplinata all’art. 35 GDPR, è una delle principali novità del GDPR oltre che una delle principali applicazioni del principio di responsabilizzazione (c.d. accountability) per i titolari del trattamento chiamati a valutare e gestire i rischi connessi ai trattamenti dei dati personali. Quando infatti un trattamento può comportare un rischio elevato per i diritti e le libertà fondamentali degli interessati, il titolare del trattamento deve porre in essere la DPIA prima di iniziare il trattamento al fine di valutare, per mezzo della stessa, quali misure tecniche ed organizzative possano contribuire ad “abbassare” o mitigare l’impatto del trattamento. Se all’esito della stessa il rischio permane elevato, il titolare consulta l’Autorità di controllo che potrà indicare misure ulteriori da implementare ovvero limitare o bloccare il trattamento.
Cosa cambia quindi rispetto al vecchio D. Lgs. 196/2003 (Codice Privacy)?
Sostanzialmente vengono meno alcuni momenti di controllo preventivo delegati al Garante:

  • la verifica preliminare (art. 17 Codice Privacy)
  • la notifica preventiva al Garante (artt. 37 e 38 Codice Privacy)
  • per alcuni versi le c.d. autorizzazioni preventive del Garante (art. 40 Codice Privacy)

Parallelamente si aggiunge un adempimento (la DPIA appunto) figlio della responsabilizzazione sottesa al GDPR che richiede al titolare stesso di prendere le decisioni in merito al trattamento al fine di dimostrarsi compliant con la nuova normativa.

La DPIA è infatti la traduzione pratica di quello che si definisce “approccio basato sul rischio” che si traduce, per l’effetto, nel principio di responsabilizzazione che fa da fil rouge per l’applicazione dell’intero GDPR. Del resto, la struttura del GDPR guarda più alla sostanza che alla forma, com’è tipico della normativa di derivazione europea, e comporta per il titolare l’onere di assumersi la responsabilità delle decisioni che prende sulla base di principi generali che gli chiedono costantemente di fare valutazioni e, sulla base degli esiti delle stesse, porre o non porre in essere una serie di adempimenti. Emerge dall’intero assetto del GDPR che esso non si limita mai (o quasi mai) a fornire una casistica tassativa (e tipica), dove il rispetto dell’adempimento in via formale possa consegnare al titolare l’agognata qualifica di “compliant”, bensì, accanto ad una tipizzazione orientativa (laddove esistente), lascia aperta una discrezionalità applicativa per così dire “responsabilizzata”.

Tale approccio sostanzialistico lo si rinviene per l’appunto anche nello stesso art. 35(1) in cui si pone un principio generale applicabile a qualsiasi scenario si presenti innanzi al titolare il quale – valutata la sussistenza dell’utilizzo di nuove tecnologie, considerate la natura, l’oggetto, il contesto e le finalità del trattamento – se ritiene possa sussistere un rischio elevato per i diritti e le libertà delle persone fisiche, deve effettuare una DPIA prima di iniziare il trattamento. Al paragrafo 3 dell’art. 35 si aiuta l’interprete, mediante una casistica tassativa e non esaustiva, a comprendere quali trattamenti rientrino nell’obbligo di preventiva DPIA. Il paragrafo 10 individua i casi invece di trattamenti esclusi. Gli effetti pratici di questo approccio si rinvengono nella struttura dell’elenco dell’art. 35, par. 3: lo stesso non è infatti un elenco chiuso dal momento che delinea solo i casi in cui “in particolare” la DPIA è richiesta. Il titolare deve infatti valutare quando, alla luce del principio generale dato dall’art. 35(1), sussista comunque un rischio elevato. In tale valutazione è certamente orientato dai 9 criteri individuati dall’EDPB nel parere n. 248 dell’allora WP29, ed oggi dall’elenco dell’Autorità Garante.

Vediamo ora da vicino l’elenco elaborato dalla nostra Autorità dopo l’intervento dell’EDPB:

  1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
  4. Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
  5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8);
  6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es.: IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogni qualvolta ricorra anche almeno un altro dei critri individuati nel WP 248, rev. 01;
  8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
  9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di beni digitali con dati di pagamento (es.: mobile payment);
  10. Trattamenti di particolari categorie di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
  11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
  12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, dei volumi dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

L’elenco elaborato dalla nostra Autorità Garante non può a sua volta dirsi “chiuso” ed esaustivo”, né immediatamente implicante una DPIA, posto che continua ad essere comunque condizionato (e dunque subordinato) alla verifica circa la sussistenza di un rischio elevato per i diritti e le libertà delle persone fisiche. Solo quindi dopo aver focalizzato la sussistenza di un rischio elevato, il titolare dovrebbe valutare se ricorre una delle ipotesi incluse in tale elenco. Per converso, nonostante si verifichi astrattamente una delle ipotesi di trattamento incluse nell’elenco, potrebbe non doversi procedere ad una DPIA, qualora, nel rispetto del principio dell’accountability, il titolare ritenga che non vi sia un rischio elevato.
Ciò è del resto confermato ed esplicitato dal Comitato Europeo per la Protezione dei Dati al punto 4 secondo il quale “this is a non exhaustive list” tanto che il Comitato chiede all’Autorità italiana di specificarlo all’interno della lista stessa. Ribadisce inoltre la necessità di contestuale applicazione dei criteri elaborati dall’EDBP, allora WP29, nel WP 248 al fine di effettuare una compiuta valutazione circa la necessità o meno di DPIA.

Premesse queste dovute considerazioni, analizzando il parere del Comitato si comprende che per quanto riguarda i dati biometrici il trattamento degli stessi di per sé non comporta un rischio elevato (e quindi l’obbligo di effettuare una DPIA). Tuttavia, qualora si trattino con il fine di identificare univocamente una persona, al ricorrere di un altro criterio, si rende necessaria la DPIA.
Il trattamento di dati genetici, di geolocalizzazione ovvero l’uso di nuove tecnologie di per sé non comporta l’obbligo di effettuare una DPIA, salvo ricorra almeno un altro criterio.
L’ulteriore trattamento, così come l’utilizzo di una specifica base giuridica, né di per sé, né combinato ad un altro criterio comporta la preventiva esecuzione di una DPIA.
Potrebbe invece comportare l’obbligo di preventiva DPIA il monitoraggio dei dipendenti, per il requisito della sistematicità e per il fatto che si tratta di soggetti vulnerabili.
Lo stesso dicasi per la raccolta di dati attraverso terze parti, anche tale trattamento comporta l’adempimento in parola poiché il rischio che potrebbe rappresentare per l’interessato e privarlo dei propri diritti.
Del pari, l’utilizzo di una tecnologia innovativa associato ad un altro criterio potrebbe comportare la DPIA.

Rientrano nell’elenco dunque, tra gli altri, i trattamenti valutativi o di scoring su larga scala, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti degli interessati”. Ma si rinvengono anche casi di trattamenti automatizzati che producono “effetti giuridici”: ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi. E ancora, trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio ed il controllo degli interessati, non soltanto allo scopo di profilazione ma anche per ragioni organizzative, di previsione di budget, sicurezza ecc. Vi rientrano trattamenti effettuati su larga scala di dati aventi carattere estremamente personale quali ad esempio i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti. Vi sono anche i trattamenti di videosorveglianza o geolocalizzazione effettuati nell’ambito del rapporto di lavoro se deriva la possibilità di effettuare un controllo a distanza dei lavoratori. Ed ancora, lo scambio, su larga scala, di dati tra diversi titolari, come pure i trattamenti sistematici di dati biometrici o genetici, avuto riguardo al volume dei dati, alla durata ed alla permanenza dell’attività di trattamento.

Effetti pratici
Il mancato rispetto delle disposizioni relative agli artt. 35 e 36 GDPR che si traduca in una mancata o errata esecuzione della DPIA o nell’omissione della consultazione all’Autorità di controllo – se prevista – può dar luogo all’applicazione delle seguenti sanzioni ex art. 84(4)(a):
• sanzioni amministrative pecuniarie sino all’importo di 10.000.000 Euro, o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore articolo 83(5)(c) GDPR;
• risarcimento del danno a favore dell’interessato (art. 82 GDPR)

I titolari del trattamento dovranno dunque prestare attenzione ai rischi per i soggetti interessati legati ai trattamenti di dati personali che essi intendono porre in essere, e verificare con attenzione se sia necessario o meno procedere ad una valutazione d’impatto sulla protezione dei dati, mantenendo alto lo sforzo interpretativo che la normativa, anche a valle della pubblicazione della lista di cui al presente articolo, continua a richiedere ai titolari del trattamento. Si auspicava infatti forse una tipizzazione più netta dei trattamenti soggetti a DPIA, e tuttavia la lista non può che rappresentare una guida, stante la varietà dei trattamenti che possono declinarsi nella pratica, e l’approccio basato sul rischio che caratterizza la normativa.