Il Garante per la protezione dei dati personali adotta un’agile infografica per sensibilizzare operatori, pubbliche amministrazioni e imprese sul nuovo strumento di valutazione di impatto privacy DPIA , sul relativo procedimento e responsabilità alla luce delle linee guida adottate dal Gruppo dei Garanti privacy europei WP in data 4 ottobre 2017.
Il Garante per la protezione dei dati personali, nell’ottica di accompagnare le imprese nel percorso di adeguamento rispetto ai nuovi istituti previsti dal Regolamento privacy europeo, adotta una scheda informativa ad oggetto la valutazione di impatto sulla protezione dei dati personali ex articolo 35 e 46 del regolamento UE/2016/679 , istituto previsto nel caso di trattamenti di dati con rischi elevati per gli interessati. I chiarimenti del Garante. La valutazione di impatto sulla protezione dei dati personali Data Protection Impact Assessment - DPIA costituisce una procedura finalizzata a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Il Garante conferma come la responsabilità per l’adozione e l’aggiornamento della valutazione di impatto DPIA spetti, nell’ottica di tutela sostanziale, al titolare del trattamento dei dati e osserva, come la conduzione materiale della valutazione di impatto, possa essere affidata a un altro soggetto, interno o esterno all’organizzazione. Il Garante rappresenta come il Gruppo dei Garanti europei ex articolo 29 suggerisca, alla luce della valenza concreta del sopra citato istituto, di valutarne l’impiego per tutti i trattamenti, e non solo nei casi in cui il Regolamento 679 lo richiede. La valutazione di impatto privacy deve essere condotta prima di procedere al trattamento. Il Garante rappresenta come occorra svolgere, in materia, un riesame continuo attraverso anche a ripetizione della stessa DPIA a intervalli regolari. Le linee guida prevedono casi ulteriori che presentano un rischio elevato per i diritti e le libertà rispetto a quelli indicato dall’articolo 35 del regolamento. L’articolo 35 del regolamento prevede che la DPIA sia obbligatoria nel caso di - una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche -il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati giudiziari ex articolo 10 - la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. La scheda del Garante riporta anche i casi ulteriori integrativi nei quali deve essere svolta la DPIA indicato dalle sopra citate linee guida -combinazione o raffronto di insieme di dati derivanti da due o più trattamenti svolti per finalità diverse e/o titolari, secondo modalità che esulano dal consenso iniziale come avviene, ad esempio, con i Big data - dati soggetti vulnerabili minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc. -utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative es. riconoscimento facciale device Iot -trattamenti che, di per sé potrebbero impedire agli interessati di esercitare un diritto o avvalersi di un servizio o di un contratto es. screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento -monitoraggio sistematico videosorveglianza . La scheda del Garante richiama anche i casi individuati dalle linee guida secondo le quali non è richiesta la DPIA ipotesi che ricomprendono, tra gli altri il caso in cui non ci siano rischi elevati per i diritti, libertà delle persone fisiche il caso in cui i trattamenti che abbiano natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è stata già condotta una DPIA il caso di trattamenti che fanno riferimento a norme, regolamenti, Ue o di uno stato membro, per cui la definizione è stata condotta una DPIA. Il Titolare del trattamento è tenuto a monitorare lo svolgimento della DPIA e a consultare il Data protection Officer DPO e deve inoltre acquisire, se i trattamenti lo richiedono, il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi Chief Information Security Officer, CISO e del responsabile IT. Il Garante osserva come la DPIA possa riguardare sia un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi. Le imprese e le P.A. devono ricorrere alla valutazione di impatto privacy in caso di presenza di rischio elevato. Considerazioni. Il documento in esame è di interesse in quanto rappresenta uno dei primi tentativi del Garante di declinare gli istituti del regolamento privacy europeo con termini chiari e divulgativi. Si osserva inoltre come il Garante svolga un ruolo molto rilevante in materia di DPIA in quanto ai sensi del regolamento redige e rende pubblico un elenco delle tipologie di trattamenti per i quali è richiesta comunque la valutazione di impatto articolo 35 e se lo ritiene opportuno, redige un elenco delle tipologie di trattamenti per i quali essa non è necessaria. L’Autorità Garante deve, nei casi sopra citati, comunicare gli elenchi al Comitato europeo dei garanti dell’articolo 65. L’intervento dell’Autorità Garante privacy, nella logica del regolamento, è svolta ex post a seguito dell’abrogazione del regolamento europeo dell’istituto della notificazione preventiva al Garante prevista dall’articolo 37 del Codice privacy. Il Garante richiama l’attenzione degli enti pubblici e imprese sulle finalità della DPIA consente ai titolari del trattamento dei dati, nel rispetto del principio di accountability responsabilizzazione , di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali. La scheda del Garante conferma come l’assunzione di responsabilità sull’adeguatezza delle misure da adottare e sulla DPIA ricada sul Titolare del trattamento le imprese e le P.A. sono avvertite. Occorre ricordare, infatti, come la violazione degli obblighi del titolare del trattamento previsti dagli articolo 35 e 36 comporti sanzioni pecuniarie fino a 10 milioni di euro, o per le imprese fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.