Linee Guida relative al Data Protection Impact Assessment (DPIA) e RGPD
05/06/2017 2022-12-06 15:47Linee Guida relative al Data Protection Impact Assessment (DPIA) e RGPD
Linee Guida relative al Data Protection Impact Assessment (DPIA) e RGPD
A cura di E. Ciprian, Risk Management e AML Centro Studi Bancari – Svizzera e CEO EM-RISK Servizi Italia
Fotocopiate i documenti di identità per la corretta identificazione del cliente? Utilizzate queste fotocopie per altri scopi? Oppure selezionate i vostri clienti in funzione di un database che mette in relazione le loro informazioni (per esempio il codice fiscale o un codice cliente) con la loro, per esempio, situazione creditizia che fornisce informazioni sullo stato del credito? Allora per la privacy occorre classificare i clienti stessi a elevato rischio: lo stabiliscono i Garanti europei nel loro documento che lo scorso 4 aprile 2017 definisce le linee guida relative al Data Protection Impact Assessment (DPIA), ossia sulla valutazione di impatto sulla protezione dei dati.
Il documento precisa, infatti, che cosa debba intendersi per «elevato rischio per i diritti e le libertà delle persone fisiche». Il Regolamento UE 2016/679 in materia di protezione dei dati personali fornisce su questo punto criteri astratti, stabilendo che solo quando un’attività di trattamento comporta rischio elevato diventa obbligatorio procedere al DPIA, il quale assume di conseguenza un significato preventivo.
Le linee guida individuano due tipologie di attività contrassegnate da diversi fattori di rischio, relativi, per esempio, alla finalità o all’oggetto del trattamento oppure agli interessati o alle modalità. È connotato da una finalità a elevato rischio il ricorso a schemi predittivi di comportamenti o di condizioni (per esempio lo stato di salute).
Esempi di rischio elevato correlato all’oggetto del trattamento sono la raccolta di dati sensibili oppure di dati “su larga scala” (si vedano a questo proposito le linee guida DPO) oppure la verifica di una base di dati con basi di dati diverse.
È invece oggettivamente a elevato rischio l’attività che riguardi persone vulnerabili per età, quali i minori, o per contesto, come i lavoratori di un’azienda o i pazienti di un ospedale. Il rischio riguarda le modalità quando al trattamento, per le caratteristiche con cui è svolto, non è possibile ragionevolmente sottrarsi, come nel caso di videosorveglianza sistematica di luoghi pubblici. Presenta ugualmente elementi di rischio elevato l’utilizzo di nuove tecnologie, specie quando non possano ancora integralmente apprezzarsene le ricadute concrete (nelle linee guida viene fatto l’esempio di alcune applicazioni all’interno dell’Internet delle Cose), oppure ancora il trattamento suscettibile di determinare la circolazione di informazioni anche verso Paesi terzi non sicuri.
Di grande interesse è il criterio che i Garanti europei forniscono: un trattamento ha rischio elevato quando concorrono almeno due fattori di rischio.
Il regolamento comunque prevede una analisi preliminare in cui un ruolo centrale è svolto dal Data Protection Officer (DPO), la cui posizione in merito all’obbligo di procedere al DPIA va documentata per successiva verifica. Nel dubbio, comunque, la valutazione di impatto va svolta, anche per non incorrere nelle elevate sanzioni previste dal Regolamento. In attesa che i criteri applicativi siano precisati, giova notare che il massimo previsto per la violazione dell’obbligo di DPIA è fissato in € 10.000.000 o, per le imprese, nella maggior somma tra tale importo e il 2% del fatturato mondiale annuo dell’esercizio precedente.