Valutazione d’impatto sulla protezione dei dati personali

In primo luogo, la DPIA ha ricevuto molta attenzione in dottrina563_{. Essa consiste} in una procedura prevista dall’articolo 35 GDPR che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di

561 _{Alpa G., Resta G., Le persone fisiche e i diritti della personalità, cit., p. 519.}

562 _{Kaminski M. E., Binary Governance: Lessons from the GDPR’s Approach to Algorithmic Accountability, in Southern}

California Law Review 92 (2019), 6, pp. 1529-1616.

563 _{Kaminski M. E., Malgieri G., Algorithmic Impact Assessments under the GDPR: Producing Multi-layered}

Explanations, in International Data Privacy Law, ipaa020, 6 dicembre 2020, disponibile al link

https://academic.oup.com/idpl/advance-article/doi/10.1093/idpl/ipaa020/6024963; Binns R., Data protection impact assessments: a meta-regulatory approach, in International Data Privacy Law 7 (2017), 1, pp. 22-35;

Edwards L., Veale M., Slave to the algorithm? Why a “right to an explanation” is probably not the remedy you are looking

123

approntare misure idonee ad affrontarli. La DPIA deve essere condotta dal titolare prima dell’inizio del trattamento e deve essere sottoposta ad un riesame continuo564_{. La natura} preventiva della DPIA è coerente con il principio di “data protection by design” (ai sensi dell’articolo 25 e del considerando 78), che impone di strutturare qualsiasi trattamento tenendo conto degli obblighi e dei principi del diritto della protezione dei dati personali565_.

È importante sottolineare che si tratta di un adempimento interno: ai sensi del GDPR, infatti, la DPIA non deve essere resa accessibile dal pubblico. Tuttavia, il Gruppo di Lavoro ex articolo 29 nota che i titolari del trattamento dovrebbero prendere in considerazione la pubblicazione di almeno alcune parti, ad esempio di una sintesi o della conclusione della loro valutazione d'impatto sulla protezione dei dati, allo scopo di contribuire a stimolare la fiducia nei confronti dei trattamenti effettuati, nonché di dimostrare la responsabilizzazione e la trasparenza566_{. In aggiunta, la valutazione d’impatto} non deve essere trasmessa alle Autorità di controllo per un’autorizzazione, ma nei casi in cui la valutazione presenti un alto rischio scatta l’obbligo di consultazione con l’Autorità di controllo567_.

Questo adempimento è obbligatorio in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, specialmente qualora sia previsto l’uso di nuove tecnologie. In particolare, l’articolo 35, comma 3, lett. a) prevede che la DPIA sia obbligatoria in caso di «una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche». Le linee guida sul processo decisionale automatizzato elaborate dal Gruppo di lavoro Articolo 29 concludono che tale disposizione «si applicherà sia a un processo decisionale che comprenda la profilazione e abbia effetti giuridici o in modo analogo significativi che non è un processo decisionale interamente automatizzato, sia a una decisione basata unicamente sul trattamento automatizzato di cui all’articolo 22, paragrafo 1»568_.

Il comma 7 dell’articolo 35 GDPR indica i seguenti elementi minimi di una DPIA:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei

564 _{Gruppo di Lavoro Articolo 29, Linee guida in materia di valutazione d'impatto sulla protezione dei dati e}

determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679,

WP 248 rev.01, 4 ottobre 2017, p. 16, disponibile al link: https://ec.europa.eu/newsroom/article29/item- detail.cfm?item_id=611236

565 _{Linee guida in materia di valutazione d’impatto, p. 16.} 566 _{Linee guida in materia di valutazione d'impatto, p. 21.} 567 _{Art. 36, Regolamento (UE) 2016/679.}

568 _{Linee guida sul processo decisionale automatizzato, p. 33; in aggiunta le linee guida in materia di DPIA elencano} una serie di criteri da tenere in considerazione nel valutare l’obbligatorietà della DPIA, tra i quali rilevano: i) trattamenti valutativi o di scoring; ii) decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni); iii) trattamenti di dati personali su larga scala; iv) combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data); v) utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzativi; vi) trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. Linee guida in materia di valutazione d'impatto, pp. 9-11.

124

dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Come già menzionato, il contenuto e le modalità della DPIA sono decisi esclusivamente dal titolare, il quale può chiedere una consulenza ad esperti indipendenti ma non è obbligato569_{. Rimane, però, l’obbligo di consultazione con il Responsabile della} protezione dei dati (“DPO”) nominato dal titolare, figura introdotta dal GDPR che deve sorvegliare, da una prospettiva imparziale l’osservanza delle norme del Regolamento570_.

Con riguardo al diritto ad ottenere una spiegazione, è stato osservato571 _{come la} DPIA agevoli le imprese nel reperire il materiale e le informazioni necessarie per adempiere ai propri obblighi di trasparenza nei confronti degli interessati. In particolare, la DPIA deve contenere una descrizione sistematica delle attività di trattamento e, dunque, impone alle imprese di redigere una spiegazione – ad uso interno – del funzionamento del sistema decisionale automatizzato utilizzato. In aggiunta, nell’elaborazione della DPIA il titolare deve compiere una valutazione dei rischi per i diritti e le libertà degli individui. Se svolta attentamente, questa valutazione permette di determinare le possibili conseguenze del trattamento automatizzato e dunque implementare misure adeguate a mitigare i rischi individuati. In sostanza, l’elaborazione di una DPIA avrebbe due benefici principali: quello di prevenire eventuali violazioni dei diritti e delle libertà degli individui e quello di predisporre una spiegazione del funzionamento (ex ante) del sistema, che potrà essere condivisa con gli interessati che ne facciano richiesta. La DPIA funge come un impegno a proteggere o addirittura a permettere l’esercizio dei diritti individuali algoritmici previsti dal GDPR572_.

Più in generale, la valutazione d’impatto è considerata lo strumento regolatorio d’eccellenza nell’affrontare le problematiche sollevate dai sistemi decisionali automatizzati. Sia in dottrina sia in ambito istituzionale è stato sostenuto che questo strumento dovrebbe essere implementato anche al di fuori dei confini del GDPR, in connessione a qualunque applicazione dell’intelligenza artificiale che sollevi preoccupazioni per i diritti e le libertà degli individui573_.