I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
1. I COMUNI E LA DPIA
Avv. Marco Cuniberti
www.costacuniberti.it
Torino, 19 Marzo 2019
2. 2
L’art. 35 introduce la nozione di valutazione di impatto
sulla protezione dei dati
(“DPIA”, Data Protection Impact Assessment, oppure
“PIA”, Privacy Impact Assessment)
Il titolare effettua, prima di procedere al trattamento,
una valutazione dell'impatto dei trattamenti previsti
sulla protezione dei dati personali
Abbiamo le linee guida del WP art. 29
LA DPIA (o PIA)
3. 3
L’obbligo di condurre una DPIA (in determinate
circostanze) deve essere collocato nel contesto del più
generale obbligo imposto ai titolari di gestire
correttamente i rischi connessi al trattamento di dati
personali.
- “rischio”: uno scenario descrittivo di un evento e
delle relative conseguenze, che sono stimate in
termini di gravità e probabilità;
- “gestione del rischio”: l’insieme coordinato delle
attività finalizzate a guidare e monitorare un ente nei
riguardi di tale rischio.
LA DPIA (o PIA)
4. 4
La DPIA è obbligatoria solo qualora un
trattamento, allorché preveda in particolare l'uso di
nuove tecnologie, possa presentare un rischio
elevato per i diritti e le libertà delle persone fisiche,
considerati:
1. la natura del trattamento
2. l’oggetto del trattamento
3. il contesto del trattamento
4. le finalità del trattamento
QUANDO SUSSISTE L’OBBLIGO DI REDIGERE UNA DPIA?
5. 5
WP ART. 29
<…Se la necessità di una DPIA non emerge con
chiarezza, il WP29 raccomanda di farvi comunque
ricorso in quanto la DPIA contribuisce
all’osservanza delle norme in materia di
protezione dati da parte dei titolari di trattamento>
MA..
6. 6
WP ART. 29
<…Qualora un trattamento - che magari rientri anche tra
quelli degli elenchi portati ad esempio - a giudizio del
titolare, non “presenti un rischio elevato”, lo stesso
titolare dovrà motivare e documentare la scelta della
mancata conduzione della DPIA, allegando o
annotando l’opinione del DPO>
INOLTRE..
7. 7
Esempi codificati (elenco non esaustivo):
a) una valutazione sistematica e globale di aspetti personali
relativi a persone fisiche, basata su un trattamento
automatizzato, compresa la profilazione, e sulla quale si
fondano decisioni che hanno effetti giuridici o incidono in
modo analogo significativamente su dette persone fisiche
(es. creazione di profili comportamentali o di marketing a
partire dalle operazioni o dalla navigazione compiute su un
sito web)
b) il trattamento, su larga scala, di categorie particolari di
dati (di cui agli artt. 9 e 10)
c) la sorveglianza sistematica su larga scala di una zona
accessibile al pubblico (es. videosorveglianza)
Quando un trattamento può presentare un rischio elevato?
9. 9
Prima di procedere al trattamento.
(art. 35, paragrafo 1, e art. 35, paragrafo 10;
considerando 90 e 93).
Tale impostazione è coerente con i principi della
privacy by design e by default (art. 25 e
considerando 78).
La DPIA è uno strumento di ausilio nel processo
decisionale relativo al trattamento.
QUANDO CONDURRE UNA DPIA?
10. 10
PER PRIMA COSA:
- CENSIMENTO DEI TRATTAMENTI
- REGISTRO DEI TRATTAMENTI
QUANDO HO CHIARI TUTTI I MIEI TRATTAMENTI:
- VERIFICO QUALI ABBIANO I REQUISITI DI CUI
ALL’ART. 35
PER CUI:
11. 11
E' buona prassi, per i trattamenti in corso, prevedere un
riesame continuo della DPIA, ripetendola a intervalli
regolari
WP ART. 29
<…I titolari devono valutare in modo continuativo i rischi
creati dai propri trattamenti così da individuare quelle
situazioni in cui una determinata tipologia di
trattamenti “può presentare un rischio elevato per i
diritti e le libertà delle persone fisiche”>
Per quanto riguarda i trattamenti già in corso?
12. 12
- Videosorveglianza
- Imposte (e loro pagamenti/mancati pagamenti)
- Rifiuti e sanzioni
- Sanzioni amministrative (e loro adempimento/
inadempimento)
- Vaccinazioni di bambini (asili nido)
ALCUNI TRATTAMENTI COMUNALI AD ALTO RISCHIO
13. 13
a) Quando condurre la DPIA?
Prima di procedere al trattamento (privacy by default e by
design)
La DPIA deve essere considerata uno strumento di ausilio nel
processo decisionale relativo al trattamento.
Ben può rendersi necessario un aggiornamento della DPIA dopo
l’inizio effettivo del trattamento.
• E' un processo permanente, soprattutto se si ha a che fare con
un trattamento dinamico e soggetto a continue trasformazioni.
• E’ un processo continuativo, non un’attività una tantum
• Quando insorgono variazioni del rischio, deve effettuarsi un
riesame per valutare se il trattamento sia conforme alla DPIA
Come si effettua una DPIA?
14. 14
b) Chi è tenuto a condurre la DPIA?
Il titolare (direttamente o affidandosi a terzi), insieme:
• al DPO (se nominato, che deve anche monitorare il suo
svolgimento)
• al responsabile (o ai responsabili) del trattamento (se
nominati)?
Ove designato, il responsabile della sicurezza dei sistemi
informativi e/o l’ufficio o divisione IT dovrebbero fornire
supporto al titolare
Come si effettua una DPIA?
15. 15
b) Chi è tenuto a condurre la DPIA?
Il titolare “raccoglie le opinioni degli interessati o dei loro
rappresentanti”, se del caso
La raccolta delle opinioni può avvenire in molteplici modalità,
in rapporto al contesto.
Esempio: uno studio generico relativo a finalità e mezzi del
trattamento, un quesito rivolto ai rappresentanti del
personale, ecc.
Come si effettua una DPIA?
16. 16
b) Chi è tenuto a condurre la DPIA?
NB! E’ bene che il titolare documenti:
• i motivi per cui ha ritenuto che NON è il caso raccogliere
le opinioni degli interessati (ad es., perché potrebbe
pregiudicare la riservatezza dei piani aziendali, oppure
sarebbe sproporzionata o impraticabile);
• le motivazioni che lo hanno condotto alla prosecuzione
del progetto, qualora la decisione assunta dal titolare si
discosti dall’opinione degli interessati.
Come si effettua una DPIA?
17. 17
c) Quale metodologia deve essere applicata per
condurre una DPIA?
Metodologie anche diverse, ma criteri devono essere questi:
• una descrizione [sistematica] dei trattamenti previsti e delle
finalità del trattamento
• una valutazione della necessità e proporzionalità dei
trattamenti
• una valutazione dei rischi per i diritti e le libertà degli
interessati
• le misure previste per:
o “affrontare i rischi
o “dimostrare la conformità con il Regolamento
Come si effettua una DPIA?
19. 19
d) È obbligatorio pubblicare la DPIA?
NO.
Ma pubblicarne una sintesi può favorire un rapporto fiduciario
e la si deve inviare in forma completa all’autorità di controllo
in caso di consultazione preventiva ovvero su richiesta
dell’autorità stessa
Come si effettua una DPIA?
20. 20
e) Quando occorre consultare l’autorità di controllo?
Se i rischi residuali sono elevati
Il titolare deve valutare i rischi per i diritti e le libertà degli
interessati e individuare le misure previste al fine di ridurli a
un livello accettabile.
Se ritiene che vi sia una sufficiente riduzione dei rischi, può
procedere al trattamento senza consultazione preventiva.
Ove i rischi non possano essere gestiti dal titolare in
misura sufficiente (ossia, qualora vi sia un elevato rischio
residuale) il titolare è tenuto a consultare preventivamente
l’autorità di controllo
Come si effettua una DPIA?
21. 21
Si può implementare un sistema informatico che aiuti e
guidi nella redazione di una DPIA?
CERTO!
Ma:
- NO: mero “modulo da compilare” (= burocrazia, forma)
- SI’: sistema responsivo, che a seconda dei contenuti che si
immettono, fornisca determinati riscontri, regole, indicazioni
(= efficienza, sostanza)
SISTEMA DI GESTIONE
UN ESEMPIO
28. 28
Ideato dalla Commission Nationale Informatique et Liberté
(CNIL), l'autorità francese per la protezione dei dati, per
aiutare il responsabile del trattamento dei dati a conformarsi
al GDPR.
E’ un software è gratuito e aperto.
E’ (attualmente) disponibile in cinque lingue.
Il software “PIA”