Valutazione di rischio elevata: quando occorre il DPIA?
Il gruppo di lavoro denominato “articolo 29“ di cui fanno parte tutte le Authority Privacy di ciascuno Stato Membro dell’Unione Europea ha pubblicato il 4 aprile 2017 un documento contenente le linee guida per lo svolgimento di un DPIA.
Riassumiamo di seguito i concetti fondamentali riguardanti la valutazione d’impatto a rischio elevato : secondo l’art. 35, paragrafo 3, del Regolamento Generale sulla Protezione dei Dati alcuni casi nei quali un trattamento dei dati può presentare “rischi elevati”, sono i seguenti:
a) “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico“
Poichè questi concetti non possono essere considerati esaustivi, vengono inoltre forniti tutta una serie di criteri di valutazione d’ impatto che riportiamo di seguito:
- “valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato (cfr. Considerando 71 e 91 del GDPR);
- processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente, compresa la profilazione;
- monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico” (cfr. articolo 35, comma 3, lettera c del GDPR);
- dati sensibili o dati aventi carattere altamente personale;
- trattamento di dati su larga scala: nella determinazione del concetto di larga scala il WP-29 raccomanda di considerare i seguenti elementi: a. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; b. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; c. la durata, ovvero la persistenza, dell’attività di trattamento; d. la portata geografica dell’attività di trattamento;
- creazione di corrispondenze o combinazione di insiemi di dati;
- dati relativi a interessati vulnerabili: (es. minori, dipendenti nonché i segmenti più vulnerabili della popolazione che richiedono una protezione speciale);
- uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
- quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto” (cfr. articolo 22 e considerando 91 del GDPR.”
Più è elevato il numero di criteri soddisfatti più è elevato il rischio per i diritti e le libertà dell’ interessato e di conseguenza più sarà elevata la necessità di fare un DPIA.