Sorry, this entry is only available in Italiano.
La normativa europea in materia di protezione dei dati personali introduce un approccio sostanziale e non più formale per il titolare del trattamento, il quale dovrebbe, in osservanza al principio di accountability, mettere in campo misure tecniche ed organizzative finalizzate a dimostrare la conformità del trattamento e a comprovare la compliance normativa. Tale mutamento si ripercuote, ovviamente, anche in campo sanitario.
La valutazione di impatto privacy (detta anche Privacy Impact Assessment, DPIA) è uno degli adempimenti introdotti dal Regolamento generale sulla protezione dati personali UE 2016/679 (detto anche RGPD) [1]. L’art. 35 prevede la sua adozione, ad opera del titolare del trattamento, quando il trattamento stesso può presentare un elevato rischio per i diritti e le libertà degli interessati.[2]
Le linee guida del Gruppo di lavoro articolo 29 per la protezione dei dati personali [3], adottate il 4 aprile 2017 e successivamente emendate il 4 ottobre 2017, aiutano a comprendere in quali casi la valutazione di impatto possa riguardare una singola operazione di trattamento o un insieme di trattamenti simili. Con riferimento a quest’ultimo aspetto, infatti, il Considerando 92 al Regolamento UE 2016/679 enuncia che “vi sono circostanze in cui può essere ragionevole ed economico effettuare una valutazione d’impatto sulla protezione dei dati che verta su un oggetto più ampio di un unico progetto, per esempio quando autorità pubbliche o enti pubblici intendono istituire un’applicazione o una piattaforma di trattamento comuni o quando diversi titolari del trattamento progettano di introdurre un’applicazione o un ambiente di trattamento comuni in un settore o segmento industriale o per una attività trasversale ampiamente utilizzata”, abbracciando poi l’art. 35, paragrafo 1, che espressamente prevede che “una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi analoghi” in termini di natura, ambito di applicazione, contesto, finalità e rischi.
La DPIA, in adesione ai principi di Privacy by Design e di Privacy by Default,[4] che impongono di tenere conto delle regole in materia di protezione sin dalla fase di progettazione e per ogni singola finalità, dovrebbe essere predisposta e attuata “prima di procedere al trattamento”, così come richiamato dal Considerando 93 [5] e dall’art. 35, paragrafo 1 RGPD; essa non dovrebbe poi esaurirsi come mero adempimento, ma persino trasformarsi in un processo di revisione periodica qualora il titolare ravvisasse un aumento del rischio legato al trattamento in questione. La valutazione di impatto privacy diviene così uno strumento per monitorare la legittimità del trattamento in adesione alla normativa in materia di protezione dati personali.
Alla luce di quanto considerato, la valutazione di impatto dovrà collocarsi durante le fasi organizzative del trattamento dei dati e le eventuali procedure di revisione dovranno tenere dovutamente conto di ulteriori criticità che possono innescarsi (ad esempio, l’aumento del rischio legato all’utilizzo di nuove tecnologie), degli orientamenti del Comitato europeo per la protezione dei dati personali [6] (il cui compito, tra gli altri, è quello di esaminare questioni tecniche, redigere e pubblicare linee guida, raccomandazioni e migliori prassi al fine di promuovere una migliore applicazione del Regolamento) e dell’Autorità di controllo; quest’ultima, ai sensi dell’art. 35, paragrafo 4 del RGPD, deve redigere e rendere pubblico un elenco di trattamenti soggetti a valutazione di impatto privacy, così come avvenuto ad opera del Garante per la protezione dei dati personali col provvedimento n. 467 dell’11 ottobre 2018.[7]
Analogamente al registro delle operazioni di trattamento, espressamente previsto dall’art. 30 del RGPD e ulteriormente sciorinato nelle relative linee guida [8] e nelle FAQ pubblicate dal Garante per la protezione dei dati personali [9], anche la DPIA rappresenta un adempimento dinamico, destinato ad “impegnare” il titolare. Quest’ultimo può anche affidare la conduzione della valutazione ad un altro soggetto, interno o esterno alla struttura o all’Azienda. La valutazione avviene in forma periodica e coinvolge anche ogni variazione legata al trattamento che, sulla base della gravità o della probabilità dei rischi, pone in pericolo i diritti e le libertà delle persone fisiche.[10]
Il titolare del trattamento, così come definito dall’art. 39, paragrafo 1, lett. c) e dalle Linee guida del Gruppo di lavoro articolo 29 per la protezione dei dati, deve consultarsi con il responsabile della protezione dei dati (RPD o Data Protection Officer, DPO), ove previsto. Il compito del RPD, nell’ambito della valutazione, richiede notevole attitudine organizzativa e profonda conoscenza della realtà in cui si opera (Ente, Azienda, Società, ecc.): egli sorveglia lo svolgimento della DPIA durante la fase iniziale e di aggiornamento e cura la comunicazione operativa nel caso in cui tale adempimento comporti l’entrata in scena del responsabile del trattamento.
Proprio a questo aspetto è necessario dedicare un’ulteriore riflessione. Il responsabile, ai sensi dell’art. 28 del RGPD, effettua trattamenti per conto del titolare in tutto o in parte e in virtù di comprovate garanzie in materia di protezione dei dati personali;[11] nella conduzione materiale della valutazione di impatto privacy, il responsabile gioca un ruolo fondamentale, fornendo ogni informazione utile in adesione all’art. 28, paragrafo 3, lettera f del RGPD.[12]
Inoltre, il titolare, ai sensi dell’art. 35, paragrafo 9, e ove richiesto “raccoglie le opinioni degli interessati o dei loro rappresentanti”. Secondo le già citate Linee guida del Gruppo di lavoro articolo 29:
- per la raccolta delle opinioni in oggetto si possono individuare molteplici modalità, in rapporto al contesto: per esempio, uno studio generico relativo a finalità e mezzi del trattamento; un quesito rivolto ai rappresentanti del personale; un questionario inviato ai futuri clienti del titolare;
- qualora la decisione assunta in ultima analisi dal titolare si discosti dall’opinione degli interessati, è bene che il titolare documenti le motivazioni che hanno condotto alla prosecuzione o meno del progetto;
- il titolare dovrebbe documentare anche le motivazioni della mancata consultazione degli interessati, qualora decida che quest’ultima non sia opportuna.
Con riferimento all’aspetto tecnico, la valutazione d’impatto sulla protezione dei dati dovrà essere necessariamente realizzata, come previsto dall’art. 35, paragrafo 3 del RGPD, in una serie di casi definiti e, in particolare, nel momento in cui il titolare pone in essere attività che consistono in:
- una valutazione sistematica e globale degli aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e su cui si fondano decisioni che hanno effetti giuridici o incidono comunque significativamente sulle persone fisiche;
- un trattamento, su larga scala, di categorie particolari di dati (quelli che con il Codice in materia di protezione dei dati personali venivano definiti dati sensibili), o di dati relativi a condanne penali e a reati;
- operazioni di sorveglianza sistematica di zone accessibile al pubblico su larga scala.
Preme sottolineare che il legislatore europeo, con il Considerando 75 al Regolamento UE 2016/679, ha inteso agevolare l’interprete nella individuazione del concetto di rischio, lì dove viene sancito che “i rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.”
È questa la sfida che tutti gli attori principali dello scenario privacy devono cogliere, prevedendo una idea di progettazione dei trattamenti che presuppone prima una attenta analisi preliminare, seguita dalla valutazione e dall’adozione di misure tecniche ed organizzative finalizzate a ridurre il rischio.
Tenendo conto della lettura dell’art. 35 del RGPD, la valutazione di impatto privacy non dovrebbe essere pubblicata una volta eseguita. Tuttavia, il Gruppo di Lavoro articolo 29 consiglia al titolare del trattamento di prendere in considerazione la possibilità di pubblicare alcune parti della DPIA o una sua sintesi. Tale scelta è basata sulla volontà di creare un clima di fiducia tra titolare del trattamento e interessato, al fine di dimostrare l’adozione di misure idonee a comprovare l’accountability e la trasparenza dell’operato. Prendendo come esempio l’ambito sanitario, potrebbe essere utile pubblicare la sintesi delle principali risultanze della valutazione di impatto allo scopo di consolidare il rapporto empatico medico-paziente.
Il Regolamento generale sulla protezione dei dati UE 2016/679, con espresso riferimento al rischio legato al trattamento, contempla un’ulteriore ipotesi. Nei casi in cui il titolare del trattamento, nonostante l’effettuazione della valutazione di impatto privacy, non sia in grado di trovare misure sufficienti per ridurre i rischi ad un livello accettabile, può consultare l’autorità di controllo,[13] così come previsto dall’art. 36 del RGPD. In tale contesto, la DPIA deve essere trasmessa in maniera completa all’Autorità di controllo, la quale dovrà fornire poi il proprio parere.[14]
Il procedimento che è necessario mettere in piedi ai sensi degli artt. 35 e 36 RGPD (quest’ultimo in caso di mancata mitigazione interna degli impatti e con relativo obbligo di ricorrere allo strumento della consultazione preventiva del Garante) è necessario ad alimentare le buone pratiche in materia di protezione dei dati personali da parte delle strutture sanitarie pubbliche, e a scongiurare il rischio di un qualsiasi danno alla reputazione delle stesse.
NOTE
[1] Considerando 90 al Regolamento UE 2016/679, “[…] è opportuno che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dati prima del trattamento, per valutare la probabilità e gravità del rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio […]”.
[2] G. Busia, L. Liguori, O. Pollicino, Diritto e policy dei nuovi media, Aracne Editrice, 2016, pp. 12-20.
[3] Gruppo di lavoro articolo 29 per la protezione dei dati, Linee guida sui responsabili della protezione dati, versione emendata in data 5 aprile 2017.
[4] G. Russo, M. Pollini, Manuale di diritto alla protezione dei dati personali, Maggioli Editore, 2017, pp. 149-151.
[5] Considerando 93 al Regolamento UE 2016/679, “In vista dell’adozione della legge degli Stati membri che disciplina i compiti dell’autorità pubblica o dell’organismo pubblico e lo specifico trattamento o insieme di trattamenti, gli Stati membri possono ritenere necessario effettuare tale valutazione prima di procedere alle attività di trattamento”.
[6] Art. 70, paragrafo 1, lett. e) del Regolamento UE 2016/679.
[7] Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, 11 ottobre 2018. https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9058979
[8] WORKING PARTY 29 POSITION PAPER on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045
[9] FAQ sul registro delle attività di trattamento, Garante per la protezione dei dati personali, 8 ottobre 2018, https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento
[10] A. d’Agostino, G. Girotto, Il Data Protection Impact Assessment: cos’è e come svolgerlo, AVVOCATO D’AFFARI, Il sole24 ore, 30 gennaio 2018. http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/mercatiImpresa/2018-01-30/il-data-protection-impact-assessment-dpia-cos-e-e-come-svolgerlo-162259.php
[11] A. Lisi, S. Ungaro, Applicazione del Gdpr ovvero il teatro dell’assurdo: il “Responsabile deresponsabilizzato” e il “Titolare irresponsabile”, https://www.agendadigitale.eu/sicurezza/privacy/applicazione-del-gdpr-ovvero-il-teatro-dellassurdo-il-responsabile-deresponsabilizzato-e-il-titolare-irresponsabile
[12] Art. 28, paragrafo 3, lett. f), Il responsabile del trattamento “[…] assiste il titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni del responsabile del trattamento”.
[13] Considerando 84 al Regolamento UE 2016/679, “[…] Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo”.
[14] Considerando 94 al Regolamento UE 2016/679, “[…] L’autorità di controllo che riceve una richiesta di consultazione dovrebbe darvi seguito entro un termine determinato. Tuttavia, la mancanza di reazione dell’autorità di controllo entro tale termine dovrebbe far salvo ogni intervento della stessa nell’ambito dei suoi compiti e poteri previsti dal presente regolamento, compreso il potere di vietare i trattamenti. Nell’ambito di tale processo di consultazione, può essere presentato all’autorità di controllo il risultato di una valutazione d’impatto sulla protezione dei dati effettuata riguardo al trattamento in questione, in particolare le misure previste per attenuare il rischio per i diritti e le libertà delle persone fisiche”.