P.a. e imprese tenute a redigere un documento sulla protezione dati: ecco come e quando
Valutazione d’impatto d’obbligo se si usa la tecnologia
Pagina a cura di Antonio Ciccia Messina
Internet delle cose, videosorveglianza negli ambienti di lavoro, dati di persone vulnerabili: sono alcuni dei casi che compongono l’elenco dei trattamenti per i quali imprese e pubbliche amministrazioni sono tenute a redigere la valutazione di impatto sulla protezione dei dati. La normativa di riferimento è l’articolo 35 del Regolamento Ue 2016/679. Ma per realizzare bene l’adempimento bisogna consultare anche le Linee-guida del Gruppo «Articolo 29» (disponibile sul sito www.garanteprivacy.it), e più di recente il provvedimento del Garante n. 467 dell’11 ottobre 2018 (contenente l’elenco dei trattamenti soggetti a detta valutazione).
Più in generale la valutazione di impatto è un documento ed è obbligatoria quando il trattamento dei dati, per l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto o le finalità, può presentare un rischio elevato per i diritti e le libertà delle persone.
L’articolo 35, paragrafo 3, dell’Rgpd fornisce alcuni esempi di casi nei quali un trattamento può presentare rischi elevati: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione; b) il trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Nell’elenco del Garante, invece, si trovano, tra gli altri, trattamenti valutativi o di scoring su larga scala, trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative (IoT, intelligenza artificiale, monitoraggi effettuati da dispositivi indossabili). L’elenco non è esaustivo.
Oltre che per i trattamenti indicati nell’elenco, il Garante ha ricordato che p.a. e aziende hanno l’obbligo di adottare una valutazione di impatto sulla protezione dei dati anche quando ricorrano due o più criteri individuati dal Gruppo di lavoro articolo 29 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto. Tra i criteri individuati nelle Linee guida si trovano, per esempio, la valutazione (comprensiva di profilazione) sul rendimento professionale, la salute, le preferenze personali; il monitoraggio sistematico delle persone; il trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.
La valutazione d’impatto sulla protezione dei dati va effettuata prima del trattamento. La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento anche se alcune delle operazioni di trattamento non sono ancora note. L’attuazione della valutazione d’impatto sulla protezione dei dati è comunque modulabile. Ciò significa che anche un titolare del trattamento di piccole dimensioni può progettare e attuare una valutazione d’impatto sulla protezione dei dati adatta ai propri trattamenti.
Non esiste l’obbligo di pubblicare la valutazione d’impatto sulla protezione dei dati, tuttavia pubblicarne una sintesi potrebbe favorire la fiducia di cittadini e utenti.
Costituisce, infatti, una prassi particolarmente buona pubblicare una valutazione d’impatto sulla protezione dei dati nel caso in cui individui della popolazione siano influenzati dal trattamento interessato. Nello specifico, ciò potrebbe essere il caso in cui un’autorità pubblica realizza una valutazione d’impatto sulla protezione dei dati.
© Riproduzione riservata
Fonte: