La valutazione d’impatto sulla protezione dei dati personali: profili critici

di Matteo Filice

1. L’essenza della valutazione d’impatto 2. Gli orizzonti della valutazione d’impatto

1.L’essenza della valutazione d’impatto

L’art. 35 del Regolamento europeo in materia di protezione dei dati personali (General data protection regulation, d’ora in poi GDPR)[1], entrato in vigore il 25 maggio 2018, impone al titolare[2] del trattamento[3] di effettuare la valutazione d’impatto sulla protezione dei dati personali (Data Protection Impact Assessment, d’ora in poi “DPIA”) prima di procedere al trattamento, quando quest’ultimo può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, specie quando si utilizzano nuove tecnologie, avuto riguardo alla natura, all’oggetto, al contesto e alle finalità del trattamento.

Nel delineato contesto, per garantire il rispetto del GDPR qualora i trattamenti possano presentare un rischio di non trascurabile rilevanza, il titolare del trattamento dovrebbe ricorrere ad una DPIA per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio[4].

Per rischio è da intendersi “uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità”, mentre la gestione dello stesso è da identificare nelle “attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio”[5].

Le libertà e i diritti cui potrebbe essere cagionato danno derivante da un rischioso trattamento vanno riferiti anzitutto a quelli riconducibili alla privacy, non più da intendere semplicemente quale diritto alla riservatezza o ad essere lasciati soli, ma diritto alla protezione dei dati personali. Allo stesso modo i rischi possono concernere altri diritti fondamentali, quali la libertà di espressione e di pensiero, la libertà di movimento, il divieto di discriminazioni, il diritto alla libertà di coscienza e di religione.

L’art. 35 del GDPR al terzo paragrafo, enuclea un elenco meramente esemplificativo, – come del resto fa pensare la locuzione “in particolare” presente nel testo prima di introdurre le ipotesi cui si rende necessaria la valutazione, – utile a fornire una preziosa guida nell’individuazione dei trattamenti soggetti a valutazione d’impatto. Si legge, infatti, l’obbligatorietà prevista nei seguenti casi: “a) valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10 alla sorveglianza sistematica su larga scala di una zona accessibile al pubblico; c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”[6].

La relatività della DPIA è altresì confermata dalla necessità di considerare la natura, l’oggetto, il contesto e la finalità del trattamento, come suggerito dal primo paragrafo già sopra enucleato.

Nondimeno, l’autorità di controllo, il Garante per la protezione dei dati personali, predispone un elenco dei tipi di trattamenti per i quali è richiesta la DPIA, e può redigere anche quello in cui sono enucleati i trattamenti per i quali non lo è.  Detti elenchi, valorizzando l’autonomia e l’indipendenza delle autorità nazionali, devono essere comunicati al Comitato europeo per la protezione dei dati, il quale esprime parere che le autorità devono tenere in debito conto, al fine di procedere ad “un’armonizzazione, al netto di specifiche esigenze nazionali, non potendo ritenersi che determinati trattamenti siano trattati diversamente nell’ambito dell’Unione Europea, in presenza di un Regolamento avente pari vincolatività in tutti gli Stati membri”[7].

Il Working party (Gruppo di lavoro) “Articolo 29”[8] per la protezione dei dati è intervenuto sul tema, elaborando all’uopo le già menzionate Linee Guida emendate da ultimo il 4 ottobre 2017, che offrono un notevole contributo soprattutto in ordine ai criteri cui far riferimento per identificare se, quando e come deve ritenersi indefettibile la DPIA. A tale fine sono stati ricostruiti nove indici, in ordine ai quali la compresenza di solo due degli stessi deve indurre a considerare il trattamento come portatore di alte probabilità di elevato rischio per i diritti e le libertà degli interessati. Tuttavia, in taluni casi, un titolare può considerare un trattamento satisfattorio di uno solo dei criteri di cui appresso, ma ritenere comunque indispensabile la DPIA. Di converso, può capitare che un trattamento, benché rifletta gli esempi ricostruiti dal Gruppo di lavoro “Articolo29”, non rechi seco un elevato rischio: il titolare dovrà accuratamente motivare per iscritto la scelta della mancata conduzione della DPIA, allegando il parere del responsabile della protezione dei dati.

I criteri elaborati sono: 1. trattamenti valutativi o di scoring, ivi compresa la profilazione e attività predittive, inerenti ad esempio “il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”: si pensi ad esempio al caso in cui un istituto di credito operi uno screening dei clienti mediante l’utilizzo di un database di rischio creditizio ovvero una società operante nell’ambito biotecnologico che sviluppi test genetici al fine di verificare il rischio di determinate patologie o in generale per lo stato di salute; 2. decisioni automatizzate che determinano granitici impatti giuridici: trattamenti teleologicamente orientati ad assumere decisioni su interessati che producano “effetti giuridici sulla persona fisica” ovvero che “incidono in modo analogo significativamente su dette persone fisiche[9]. Il trattamento può precludere ad una persona fisica specifici benefici o determinare la sua discriminazione. Va da se che il trattamento dal quale derivano effetti minimi non avvera detto requisito; 3. monitoraggio sistematico: trattamenti utilizzati per controllare gli interessati, nel cui alveo rientra  la raccolta di dati attraverso reti o “la sorveglianza sistematica di  un’area accessibile al pubblico”[10]. Questo appena enucleato costituisce un particolare tipo di trattamento perché la raccolta di dati personali può avvenire in condizioni tali da non permettere agli interessati di comprendere chi lo stia ponendo in essere ovvero per quali finalità; 4. dati sensibili o dati di natura estremamente personale: si tratta di categorie particolari di dati di cui all’art. 9 del GDPR (per esempio, informazioni inerenti lo stato di salute o l’appartenenza ad una organizzazione sindacale) oltre ai dati personali relativi a condanne penali o reati di cui all’art. 10 del GDPR. Si pensi ad un ospedale che custodisca le cartelle cliniche dei pazienti, o un investigatore privato che conserva informazioni su soggetti responsabili di reati. Al di là di queste categorie, rilevano anche dati relativi alla vita familiare o privata che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la libertà di movimento) ovvero dati la cui violazione importi un danno sulla vita quotidiana dell’interessato (è il caso dei dati finanziari cui si potrebbe far ricorso per commettere frodi in materia di pagamenti). Tuttavia, può essere dirimente, la circostanza per cui i dati siano già stati diffusi dall’interessato ovvero da terzi in quanto è sintomatica dell’aspettativa dello stesso interessato di un uso successivo di tale dati; 5. trattamenti di dati su larga scala[11]:  si consiglia di analizzare la presenza o meno di alcuni fattori per definire se un trattamento sia svolto su larga scala, quali “a. numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; b. volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; c. durata, o persistenza, dell’attività di trattamento; d. ambito geografico dell’attività di trattamento”[12]; 6. combinazione di insiemi di dati, per esempio derivanti da due o più trattamenti effettuati per diverse finalità e/o da titolari distinti, secondo modi che eludono le aspettative dell’interessato; 7. dati relativi a interessati vulnerabili: in questi ipotesi di trattamento è massiccio lo squilibrio di poteri fra interessato e titolare del trattamento, in quanto il singolo può non disporre del potere di prestare il consenso al trattamento dei dati, può rifiutarlo o revocarlo con facilità oppure può non riuscire ad esercitare agilmente i propri diritti. La categoria degli interessati vulnerabili annovera fra i suoi componenti i minori, soggetti con patologie, anziani, ovvero ogni altro soggetto per il quale si possa individuare una situazione di disequilibrio nel rapporto con il rispettivo titolare del trattamento; 8. utilizzo di nuove soluzioni tecnologiche: è il caso dell’associazione fra tecniche dattiloscopiche e riconoscimento del volto per migliorare il controllo degli accessi fisici, e così via[13] [14]; 9.  trattamenti che inibiscono agli interessati l’esercizio di un diritto o di avvalersi di un servizio o di un contratto[15]: si pensi allo screening dei clienti di una banca effettuato mediante i dati registrati in una centrale rischi per determinare se concedere o meno un finanziamento[16].

Tanto basta per renderci edotti di come, nell’ottica della dimostrazione della conformità alla normativa vigente in materia di protezione dei dati, indi di responsabilizzazione dei trattamenti, – (accountability) di cui all’ ultimo paragrafo dell’art. 5 del GDPR, – l’intento del legislatore europeo sia in prima istanza quello di favorire un approccio teso alla valutazione del rischio (risk-assestment) e gestione dello stesso (risk-managment), onde garantire di conseguenza la protezione delle persone fisiche.

La DPIA costituisce un obbligo prima che sia iniziato il trattamento, al ricorrere delle condizioni che ne impongono la realizzazione, in capo al titolare del trattamento che deve consultare il responsabile della protezione dei dati personali (RPD)[17] ove designato, il quale sorveglia sulla conduzione della stessa e, se richiesto, esprime un parere. È solo il titolare onerato dell’effettuazione della stessa anche se di fatto può essere compiuta da un soggetto terzo. Nel caso in cui il titolare non sia d’accordo con quanto sostenuto dal RPD, deve documentare il suo dissenso.  Si favorisce così trasparenza e sicurezza nelle operazioni di trattamento al fine di arginare nefaste conseguenze sulle persone. Inoltre, il titolare deve farsi assistere dal responsabile[18] del trattamento, quando ricorra un trattamento di competenza di quest’ultimo, il quale deve fornire le opportune informazioni in suo possesso al fine della buona riuscita della valutazione.

All’esito della DPIA il titolare constatato che non vi siano rischi elevati può ritenersi legittimato ad eseguire il trattamento. Di contro, se risultano essere presenti rischi per le libertà e i diritti degli interessati, dovrà adottare misure per garantire un livello di sicurezza adeguato al rischio, per attenuarlo o eliminarlo.

Nell’ipotesi residuale in cui il titolare non sia in grado
di individuare dette misure tecniche od organizzative dovrà allora assolutamente consultare l’Autorità di controllo ai sensi dell’art. 36 GDPR dando luogo alla c.d. consultazione preventiva[19] [20]. L’autorità, dunque, si attiva in un secondo momento e sulla base delle risultanze del titolare, qualora si convinca che il titolare del trattamento “non abbia identificato o attenuato il rischio”, esprime un parere nel termine di 8 settimane – termine prorogabile di ulteriore 6 settimane nei casi di particolare complessità – rappresentando le misure e gli accorgimenti ulteriori da implementare, fino ad ammonire il titolare o vietare il trattamento in casi extrema ratio. L’Autorità, inoltre, è chiamata in causa ogni qualvolta il diritto domestico degli stati membri prescriva che i titolari del trattamento debbano consultarla chiedendo l’autorizzazione preliminare in ordine al trattamento da parte del titolare del trattamento per l’esecuzione di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica[21].

2. Gli orizzonti della valutazione d’impatto

Vale la pena indugiare, giunti a tale punto, sulla ratio sottesa alla DPIA. Quest’ultima risulta essere non molto dissimile rispetto a quella sottesa alla verifica preliminare di cui all’art. 17 del vecchio testo del Codice in materia di protezione dei dati personali. Ciò è desumibile dalla lettera di quest’ultimo che, ai tempi della sua vigenza, recitava nei seguenti termini “1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure e accorgimenti a garanzia dell’interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare”. Dunque, la DPIA si atteggerebbe a vera e propria verifica preliminare condotta ex se dal titolare, senza coinvolgere l’Autorità, cui invece si ricorre, come si è visto, in una fase secondaria ed eventuale. Invero, questo assunto potrebbe involgere diverse perplessità, posto che potrebbe sostenersi che sia l’attuale consultazione preventiva a sostituirsi alla verifica preliminare. Pertanto, non resta che attendere ulteriori contributi, dirimenti sul punto, di maggiore pregio in merito.

Ciò detto, il mancato avveramento delle condizioni che impongono il ricorrere alla DPIA non esonera il titolare dal rispetto degli obblighi generali, di cui agli artt. 24 e 32 del GDPR, di adozione e di aggiornamento delle misure tecniche od organizzative adeguate per garantire ed essere in grado di dimostrare che i trattamenti sono conformi al GDPR.

Nella pratica, ciò significa che i titolari devono valutare in modo continuativo i rischi creati dai propri trattamenti così da individuare quelle situazioni in cui una determinata tipologia di trattamenti può essere cagionevole.

Il contenuto minimo ed indispensabile della DPIA, potendo quindi essere arricchito di ultronei elementi, è indicato nel paragrafo 7 dell’art. 35: “a) descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento; b) una valutazione di necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui paragrafo; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”.

Ad excludendum, la DPIA non è necessaria quando il trattamento non “può comportare un rischio elevato” ovvero esiste una DPIA simile, o il trattamento è già stato autorizzato prima del maggio 2018, o ha una base legale, o è compreso nella lista dei trattamenti che non richiedono una DPIA. Nello specifico, quando il trattamento è effettuato in virtù di un obbligo legale al quale è soggetto il titolare del trattamento, ovvero è necessario per eseguire un interesse pubblico o connesso all’esercizio dei pubblici poteri[22] di cui è investito il titolare del trattamento o si rinvenga nel diritto dell’Unione o nazionale di uno Stato membro cui il titolare è soggetto una base giuridica e detto diritto regolamenti il trattamento specifico o l’insieme dei trattamenti in questione e sia stata già effettuata una DPIA nel contesto di una DPIA generale nell’ambito dell’adozione di detta base giuridica, non è necessario procedere ad una nuova valutazione, fatta salva l’ipotesi in cui gli Stati membri lo ritengano opportuno. Va precisato però che un mutamento della natura, delle finalità, del contesto, dei soggetti interessati, perché magari vulnerabili, e di tutti gli elementi strutturali e caratterizzanti uno specifico trattamento, per il quale precedentemente non era stato rilevato un rischio elevato, può importarne, successivamente, uno più grave, abbisognando di un monitoraggio costante con il trascorrere del tempo e richiedendo eventualmente una DPIA. È il caso, ad esempio, dell’uso nuove tecnologie, in merito alle quali lo stesso Stefano Rodotà[23] ha più volte sottolineato come potrebbero provocare rischi allo specifico habitat delle libertà, per cui è doveroso ricorrere a tecnologie “pulite”, che riflettano un indefesso rispetto alla protezione dei dati. Nel fare ciò, va da sé, l’importanza dell’analisi insita nella valutazione. Può inverarsi il processo inverso rispetto a quello appena descritto, ossia la rarefazione del rischio rispetto ad un tempo passato, con la conseguente non attuale esigenza di procedere alla valutazione.

E’ auspicabile un approccio multidisciplinare, delineando ulteriori figure da coinvolgere nell’analisi del rischio che possano dare risposte in termini oltre che giuridici anche tecnologici, sociologici, etici ed ambientali, ovvero propri di quelle branche del sapere che emergono siccome rilevanti nell’ambito della DPIA.

Una singola valutazione può esaminare un insieme di trattamenti simili che presentino analogie in termini di natura, ambito, contesto, finalità e rischi. A rigore, infatti, le valutazioni tendono a svolgere un’analisi di tipo sistematico, non dovendosi sviluppare una DPIA per quei trattamenti già oggetto di analisi. Un esempio calzante come indicato nelle linee guida sopra menzionate “potrebbe essere offerto dall’utilizzo di tecnologie simili per raccogliere le stesse tipologie di dati per le identiche finalità; si pensi a un gruppo di autorità locali che decidano di installare ciascuna un analogo sistema di videosorveglianza: sarebbe possibile svolgere un’unica DPIA che prenda in esame il trattamento svolto da questi distinti titolari; oppure si pensi a un operatore ferroviario (unico titolare del trattamento) che potrebbe svolgere un’unica DPIA con riguardo all’impiego della videosorveglianza in tutte le stazioni ferroviarie di competenza. Lo stesso dicasi per trattamenti analoghi effettuati da titolari diversi; in casi del genere, sarebbe opportuno che una DPIA utilizzabile come riferimento venga condivisa o resa accessibile al pubblico, con l’obbligo di dare attuazione alle misure in essa delineate, mentre si dovrebbe giustificare la scelta di condurre una DPIA isolata”[24].

Il rispetto di un codice di condotta (ai sensi dell’art. 40 GDPR) deve essere tenuto in considerazione come suggerisce lo stesso art. 35, paragrafo 8, GDPR, nel valutare l’impatto di un trattamento. È un fattore idoneo a dimostrare l’utilizzo di misure adeguate e la conformità del trattamento alla normativa. In tal senso sarebbero utili eventuali certificazioni, sigilli e marchi finalizzati a dimostrare che determinati trattamenti da parte di titolari e responsabili rispettano il regolamento (ai sensi dell’art. 42 GDPR) nonché di norme vincolanti d’impresa[25].

Si possono utilizzare varie metodologie, come peraltro emerge dall’allegato n. 1 delle Linee guida già più volte menzionate, – per assicurare l’attuazione dei requisiti minimi stabiliti nel GDPR – che valorizzano la contemporanea presenza di approcci diversificati, in ossequio agli specifici canoni di cui all’allegato n. 2. Nell’ossequio di quest’ultimi, uno spazio di operatività discrezionale comunque residua in capo al titolare nello sviluppo della DPIA per quanto di attinenza al quomodo.

Nessun obbligo è previsto in merito alla pubblicazione della DPIA, ma sarebbe di buon auspicio pubblicare almeno parti della stessa. In tal modo, da un lato si favorisce lo sviluppo della fiducia nelle attività di trattamento, dall’altro si offre prova dell’approccio responsabile e trasparente che si intende attuare, specie se sia una pubblica amministrazione a dover condurre la DPIA.

L’attività qui in esame è un processo duraturo e permanente, soprattutto se si ha a che fare con un trattamento poco statico e assoggettato a continue metamorfosi. Lo svolgimento della DPIA interessa l’intera vita del trattamento, non una sola fase e pertanto si colloca quanto più a monte possibile nella fase di progettazione di un trattamento. È di tutta evidenza quindi l’attrazione della stessa attività di valutazione nel campo di applicazione del principio di “privacy by design” ex. art. 25 GDPR.

La conduzione di una valutazione dei rischi, al di là dal fatto se necessaria o meno, rappresenta sempre un’attività virtuosa. La sua elaborazione consente di individuare, mappare e affrontare i rischi, ove dovessero conseguire ad un trattamento; inoltre, con la sua intrinseca funzionalità predittiva evita che determinate problematiche e complessità vengano svelate in una fase troppo matura del processo di trattamento, – eventualità che potrebbe costare tanto al titolare –  laddove, invece, l’introduzione di adeguate misure potrebbe favorire la gestione in tempo dei rischi. Da ultimo, non meno importante, bisogna rammentare che la procedura de qua è capace di accrescere il livello di affidabilità legato all’immagine del titolare, ente pubblico o privato che sia, in integrale applicazione del principio di accountability che, inaugurando una nuova stagione per la protezione dei dati rispetto a quanto previsto sinora, è senza dubbio alcuno la principale innovazione cui si fonda il GDPR[26].

[1] Sul punto si consiglia L. Bolognini, E. Pelino, C. Bistolfi, Il Regolamento Privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, Giuffrè editore, 2016; F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla direttiva 95/46 al nuovo Regolamento europeo, Torino, Giappichelli, 2016.

[2] Per titolare del trattamento ai sensi dell’art. 4 GDPR deve intendersi: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità del [trattamento]”.

[3] Per trattamento ai sensi dell’art. 4 GDPR deve intendersi: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

[4] Si veda considerando 84 del GDPR.

[5] Così Linee-guida concernenti la valutazione d’impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679” del Gruppo di lavoro “Articolo 29”, versione successiva ed emendata il 4 ottobre 2017, www.garanteprivacy.it, p. 5.

[6] Sul punto, si consiglia il considerando n. 91 del GDPR 2016/679: “Ciò dovrebbe applicarsi in particolare ai trattamenti  su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti. E’ opportuno altresì effettuare una valutazione d’impatto sulla protezione dei dati nei casi in cui i dati personali sono trattati per adottare decisioni riguardanti determinate persone fisiche in seguito a una valutazione sistematica globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati, o in seguito al trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza. Una valutazione d’impatto sulla protezione dei dati è altresì richiesta per la sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante dispositivi optoelettronici, o per altri trattamenti che l’autorità di controllo competente ritiene possano presentare un rischio elevato per i diritti e le libertà degli interessati, specialmente perché impediscono a questi ultimi di esercitare un diritto o di avvalersi di un servizio o di un contratto, oppur perché sono effettuati sistematicamente su larga scala. Il trattamento di dati personali non dovrebbe essere considerato un trattamento di larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d’impatto sulla protezione dei dati”.

[7] Così M. Nicotra, Valutazione di impatto GDPR (DPIA), impariamo dagli elenchi trattamenti del Garante belga, in https://www.agendadigitale.eu/sicurezza/privacy/valutazione-di-impatto-gdpr-dpia-impariamo-dagli-elenchi-trattamenti-del-garante-belga/

[8] È’ il Gruppo di lavoro previsto dall’art. 29 della direttiva europea 95/46, ormai abrogata. Detto Gruppo, ora, a seguito del GDPR, è sostituito dal “Comitato europeo per la protezione dei dati”.

[9] Cfr. art 35, paragrafo 3, lettera a GDPR.

[10] Si confronti art. 35, paragrafo 3, lettera c GDPR.

[11]  È di particolare ausilio il considerando, già citato, 91 del GDPR.

[12] Linee-guida concernenti la valutazione d’impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679”, cit., p. 9.

[13] Il GDPR chiosa, all’art. 35, paragrafo 1, e considerando 89 e 91, come l’utilizzo di una nuova tecnologia, può comportare l’obbligo di condurre una DPIA, sul presupposto che una nuova tecnologia può implementare nuove modalità di raccolta e utilizzo dei dati cui può accoppiarsi un rischio elevato, ancora di fatto sconosciuto, per i diritti e le libertà delle persone.

[14] L. Califano, C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, Editoriale scientifica, 2017.

[15] Cfr. il considerando 91 e l’art. 22 del GDPR.

[16] Per un approfondimento su possibili trattamenti suscettibili di DPIA o meno, Linee-guida concernenti la valutazione d’impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679cit., pp. 11 e ss.

[17] Linee-guida sui responsabili della protezione dei dati (RPD), adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017, www.garanteprivacy.it.

[18] Per responsabile del trattamento ai sensi dell’art. 4 GDPR deve intendersi: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati per conto del titolare del trattamento”

[19] Cfr. il considerando 84 del GDPR 2016/679.

[20] Oggi, a dispetto di quanto dettava la direttiva 95/46/CE – oramai abrogata dalla normativa regolamentare europea – che imponeva un generico obbligo di notificazione alle autorità di controllo dei trattamenti dei dati personali, appesantito da abnormi sacrifici finanziari ed amministrativi, non bisogna più interpellare l’autorità in modo incondizionato ed indiscriminato. Infatti, la concertazione è indispensabile solo nel caso di procedure inerenti trattamenti portatori di elevati rischi per i diritti e le libertà delle persone fisiche per natura, contesto, ambito di applicazione, finalità e solo qualora idonee misure di sicurezza non siano state allestite ovvero seppur approntare non abbiano affievolito il rischio.

[21] Si v. l’ultimo paragrafo dell’art. 36 GDPR 2016/679.

[22] In merito alle formule di “obbligo legale”, “interesse pubblico” e “pubblici poteri”, si rinvia ai considerando n. 45 e n. 46 del GDPR 2016/679.

[23] Si v. Relazione annuale 1997 dell’Autorità Garante per la protezione dei dati personali a cura di S. Rodotà. Nello stesso senso si cfr. celeberrima prefazione di S. Rodotà “Libera circolazione e protezione dei dati personali”, R. Pannetta (a cura di), Napoli, Giuffrè editore, 2002.

[24] Linee-guida concernenti la valutazione d’impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato, cit., p. 6.

[25] Ivi, p. 16.

[26] Si consiglia G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, Zanichelli, 2017.