Il Data Protection Impact Assessment (D.P.I.A.)

Quando un determinato tipo di trattamento, allorché implichi in particolare l’uso di nuove ed invasive tecnologie, esponga ad un rischio particolarmente elevato i diritti e le libertà fondamentali delle persone fisiche232_{, è fatto obbligo al titolare}

232 _{Con riferimento ai rischi “di grado elevato” cui fa riferimento l’art. 35, può essere utile operare}

un richiamo al considerando 75 del Regolamento, ove viene sancito che “I rischi per i diritti e le

libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”. In ogni caso, la circostanza per cui il rischio in

89

di sottoporre lo stesso ad una valutazione formale in merito all’impatto che può determinarsi sulla protezione dei dati personali.

L’istituto della valutazione d’impatto, disciplinato dall’art. 35 GDPR, dunque, verrà attivato dal titolare al termine della preventiva fase di analisi del rischio, allorquando questi ritenga che il trattamento continui ad essere caratterizzato da elevata rischiosità. Accanto ai casi in cui il titolare decida in via autonoma di sottoporre il trattamento alla valutazione d’impatto, ve ne sono altri in cui la stessa è imposta in via obbligatoria dal legislatore, stante la presunzione dell’elevato grado di rischiosità del trattamento che ne costituisce oggetto233. La lista stilata dal legislatore europeo è una lista aperta, in quanto alle Autorità di controllo degli Stati membri viene demandata la possibilità di individuare ulteriori casi in cui rendere obbligatorio il ricorso a tale istituto234. Alle Autorità, inoltre, viene demandata anche la possibilità di stilare una lista che elenchi i casi in cui la valutazione d’impatto non è da ritenersi obbligatoria. Con riferimento a tale previsione, la dottrina non ha mancato di evidenziare l’estrema difficoltà cui le Autorità possono incorrere nella individuazione delle ipotesi in cui un trattamento sia da considerarsi o meno particolarmente rischioso235.

Tra le ipotesi di trattamento particolarmente rischioso, il legislatore europeo individua, nel richiamato art. 35, quelle aventi ad oggetto il monitoraggio sistematico dei comportamenti degli interessati, anche al fine di condizionarne la capacità decisionale, e quelli coinvolgenti un gran numero di soggetti su larga scala – che magari comprendano anche dati sensibili - o, ancora, i trattamenti che combinano entrambi questi fattori.

una discrezionalità alquanto ampia in capo al titolare in merito alla necessità di procedere o meno alla valutazione d’impatto. V. R. TORINO, La valutazione d’impatto (Data Protection Impact

Assessment), in V. CUFFARO – R. D’ORAZIO – V. RICCIUTO, I dati personali nel diritto europeo, Giappichelli, 2019.

233 _{Si tratta, ad ogni modo, di una presunzione relativa, poiché dalla valutazione d’impatto svolta}

nel caso concreto potrebbe emergere che il rischio non è elevato come si credeva.

234 _{Il Garante italiano ha sfruttato la possibilità riconosciuta dal Regolamento, e ha redatto l’elenco}

in questione, pubblicandolo l’11 ottobre 2018; lo stesso è rinvenibile al link

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9058979.

235 _{A. MANTELERO, op. cit., p. 157. L’autore prosegue specificando che “sussiste una tensione}

fra una valutazione del rischio astratta ed a priori ed il concetto medesimo di analisi dei rischi, necessariamente incentrato sulla specificità del caso concreto. In particolare, poi, stante la possibilità di inferire dati personali ed anche sensibili partendo da informazioni di carattere non personale o non sensibile, potrebbe essere non sempre agevole presumere che, in termini generali, alcuni processi escludano in radice ogni eventualità, anche futura, di rischio elevato”.

90

Come è facilmente intuibile, la valutazione d’impatto sarà dunque obbligatoria non soltanto per i tanti soggetti privati che operano sul mercato ma, altresì, per tutti i soggetti pubblici che raccolgono infinite quantità di dati personali236. Infatti, la pericolosità di un’operazione, spesso, soprattutto nello scenario attuale, può dipendere non solo dalla natura dell’attività, ma anche dagli esiti rischiosi che questa può avere sulla collettività.

Con riferimento alla procedura utile a svolgere tale valutazione, la stessa è regolata dall’art. 35, par. 7. L’impostazione di fondo è quella della più generica analisi dei rischi, considerato che la valutazione d’impatto si pone in linea con il modello di quest’ultima, ricalcandone sostanzialmente il contenuto. Tuttavia, alcuni passaggi vengono meglio specificati. In primo luogo, infatti, il titolare, nel redigere il documento richiesto ex lege per tener traccia di tutta la procedura svolta, dovrà valutare ex ante il processo, prodotto o attività a venire in rilievo nell’ambito del trattamento, valutando il grado di rischio che da tali elementi potrebbe derivare ai diritti e alle libertà dell’interessato237, nonché rapportando la finalità del trattamento ai princìpi di necessità e proporzionalità238. A questa preventiva analisi seguirà poi l’individuazione delle misure idonee ad evitare o, mitigare, i rischi individuati.

Nelle ipotesi in cui il rischio “residuale” per i diritti e le libertà degli interessati continui a presentarsi “elevato”, nonostante le misure tecniche e organizzative

236 _{Del resto, il 91˚ considerando precisa che costituiscono operazioni di trattamento dati su larga}

scala quelle in cui viene elaborata “una notevole quantità di dati personali a livello regionale,

nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati”. I

trattamenti posti in essere dai soggetti pubblici, generalmente, presentano proprio tali caratteristiche, sebbene non debba sottacersi quanto già evidenziato da Mantelero, vale a dire che “non si coglie la ragione di adottare parametri di riferimento di carattere territoriale per

qualificare il trattamento (“regionale, nazionale o sovranazionale”) in relazione a processi che solitamente si pongono come slegati dai contesti territoriali, operando in ambienti cloud con una “geometria territoriale” che varia di continuo”. Cfr. A. MANTELERO, op. cit., p. 158.

237 _{Nel porre in essere la valutazione d’impatto, il Titolare dovrà tener conto della differente}

incidenza che possono avere sul trattamento i diversi interessi e diritti degli interessati, non potendo porre sullo stesso piano i potenziali pregiudizi e vantaggi correlati al trattamento. Il Titolare, infatti, dovrà in via principale “seguire un indirizzo volto alla mitigazione dei rischi

suscettibili di incidere sui diritti fondamentali”. V. A. MANTELERO, op. cit., p. 159.

238 _{Con riferimento alla valutazione della “necessità e proporzionalità” del trattamento dei dati in}

relazione alle finalità, occorre rilevare che, “sebbene la valutazione non possa non prendere in

considerazione le finalità del trattamento per come esplicitate al momento della raccolta dei dati, è ormai acquisito che i titolari fanno sovente un uso “trasformativo” dei dati applicando strumenti di big data analytics, rispetto a cui la valutazione di “necessità e proporzionalità” finisce per essere inevitabilmente non più corretta o comunque superata”. V. R. TORINO, op. cit,

91

individuate dal titolare per mitigare l’impatto del trattamento sui diritti e le libertà degli interessati, questi dovrà procedere alla consultazione dell’Autorità di controllo, prima di dare avvio al relativo trattamento, affinché la stessa sottoponga a vaglio preventivo il trattamento in questione.

È chiaro, però, che tale processo di auto-valutazione compiuto dal titolare possa esporre a numerose falle il corretto funzionamento del sistema, e ciò sotto vari profili. A titolo esemplificativo, basti considerare il caso in cui titolare decida di dare comunque avvio al trattamento, senza passare dalla consultazione preventiva dell’Autorità, ritenendo che lo stesso non esponga i diritti e le libertà dei singoli ad un rischio di grado elevato o, alternativamente, considerando le misure di sicurezza individuate idonee ad arginare o mitigare tale rischio. Ancora, ben potrebbe verificarsi l’ipotesi in cui il titolare decida di dar luogo al trattamento, pur ritenendo lo stesso particolarmente rischioso, o pur avendo considerato le misure di sicurezza inadeguate. In questi casi, tendenzialmente giustificati da un bilanciamento costi/benefici per cui il beneficio derivante dalla messa in atto del trattamento si ritiene essere più importante dei costi che eventualmente il titolare sarebbe costretto a sostenere in sede di controllo successivo (e, dunque, in sede di responsabilità), determinerebbe un serio pericolo per la salvaguardia del diritto alla protezione dei dati personali degli interessati. Questi, infatti, saranno costretti a poter agire solo ex post nei confronti del titolare, una volta che si sia verificato l’eventuale danno, ma non sarà garantita loro alcuna efficace tutela preventiva. Se il titolare pone in essere il trattamento nella consapevolezza di non avere adottato le misure adeguate ad arginare determinati rischi, e se lo fa – altresì - nonostante l’eventuale parere discordante del Data Protection Officer239, posto che quest’ultimo non può avere alcun potere impeditivo nei suoi confronti né alcun obbligo di segnalazione nei confronti dell’Autorità, è chiaro che il suo operato negligente andrà a determinare delle ricadute importanti sull’intero sistema di tutela predisposto dal legislatore.

Ancora, occorre ulteriormente ribadire, e la dottrina non manca di farlo, nel tentativo di evidenziare ulteriori criticità proprie dell’istituto della valutazione d’impatto, sebbene di carattere applicativo, che la prassi invalsa, nell’epoca dei

239 _{Sul rapporto tra Titolare e DPO nell’ambito del D.P.I.A. si tornerà nel Capitolo IV, ove}

92

Big Data, di accumulo e combinazione secondaria dei dati previamente raccolti rende problematico per il titolare tener conto dell’uso trasformativo che di detti dati può venir fatto da titolari successivi cui vengano ceduti i pattern di dati. Per tale ragione, la dottrina ritiene che l’istituto della valutazione d’impatto vada implementato affinché la stessa possa concentrarsi sull’impiego concreto che il titolare intenda fare dei dati, specie nel caso in cui questi siano oggetto di cessione ad altri soggetti, e ciò al fine precipuo di fornire all’interessato, anche nelle more del trattamento, le opportune informazioni circa i rischi, ma anche circa le garanzie offerte240.

Aldilà delle considerazioni svolte, occorre rilevare che il WP29 si è espresso favorevolmente in merito a tale istituto. Il Gruppo di lavoro ha, infatti, emanato delle linee guida in materia241, ove viene evidenziato che la valutazione d’impatto “costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il Titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l’altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento”.