Gdpr : la guida in materia di valutazione d’impatto

130
sanità

In questo periodo il Gruppo di lavoro ex art. 29 (WP29) sta intervenendo con una serie di provvedimenti volti a fornire utili chiarimenti per una corretta interpretazione di quanto statuito dal GDPR (Regolamento europeo n. 2016/679: a partire dal 25 maggio 2018, ogni azienda dovrà preoccuparsi di aver implementato tutte le procedure necessarie per una corretta gestione del trattamento e della sicurezza dei dati personali).

In tal senso, infatti, il Gruppo di lavoro ha emanato non solo la versione definitiva delle linee guida in materia di valutazione d’impatto (doc. WP248rev.01), ma ha predisposto una prima bozza delle linee guida, attualmente in consultazione, relative alle tematiche del data breach, della profilazione, nonché dell’applicazione delle sanzioni amministrative.

In pratica tra le molteplici previsioni del GDPR, l’art. 35 introduce per la prima volta l’istituto della valutazione d’impatto, in precedenza non previsto dalla Direttiva 95/46/CE dal nostro Codice per la protezione dei dati personali (d.lgs. 196/2003) che per trattamenti che presentano rischi specifici disciplina l’obbligo di verifica preliminare davanti all’Autorità Garante.

In sintesi la DPIA (Data protection impact assessment) consiste in una valutazione preliminare (fatta dallo stesso titolare) degli impatti a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati. Il Gruppo di lavoro ha individuato alcuni casi di obbligatorietà della DPIA, precisando come l’elenco previsto dall’art. 35 del GDPR. Operazioni di trattamento definite “high risk”, infatti, potrebbero comunque comportare rischi altrettanto elevati. In considerazione di ciò, dunque, compito del Titolare del trattamento, utilizzando caso per caso un “risk-based approach”, sarà quello (prima che i dati vengano trattati) di individuare: l’origine, la natura, la probabilità e la gravità del rischio, l’ambito di applicazione, il contesto e le finalità del trattamento stesso in quanto più è elevata la rischiosità del dato, più alte sono le conseguenze in termini d’impatto per gli interessati.

Una DPIA dovrà, quindi, tenere conto sia del grado di rischio che il trattamento possa presentare per i diritti e le libertà delle persone fisiche sia del grado di innovatività della tecnologia con cui viene effettuato il trattamento (tecnologie poco conosciute potrebbero infatti comportare rischi non ancora valutati e impatti potenziali elevati sugli interessati).

Il Titolare dovrà comprendere, per esempio, se si tratti di un dato più o meno rischioso,  se questo sia o meno diffuso pubblicamente, se sia trattato unitamente ad altri dati o se sia comunicato ad un vasto numero di persone.

Il documento del Gruppo di lavoro definisce non solo un elenco di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazione d’impatto debba ritenersi obbligatoria (quali, il trattamento di dati genetici o di salute dei pazienti in un ospedale, l’uso di un sistema di telecamere per monitorare il comportamento di guida in autostrada o, in materia di controllo a distanza dei lavoratori, le operazioni di monitoraggio effettuate dalla società sulle attività dei propri dipendenti inclusa la loro postazione di lavoro) ma individua criteri utili da seguire per tutte quelle operazioni di trattamento che richiedono una DPIA .

L’art. 35 del GDPR prevede inoltre ipotesi di esonero dall’effettuazione della valutazione d’impatto. In particolare il Gruppo di lavoro, nell’interpretazione della norma, ha precisato come una DPIA non sia obbligatoria per tutte quelle operazioni in cui il trattamento non presenti un rischio elevato per l’interessato, sia già stato autorizzato, trovi nel diritto dell’Unione o dello Stato membro una base giuridica oppure quando, per la natura o finalità del trattamento, questo sia molto simile ad un altro trattamento per cui la DPIA è già stata effettuata.

Anche in questo caso le linee guida individuano un elenco di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazione d’impatto non deve ritenersi necessaria quale, ad esempio, il caso di un trattamento di dati personali di pazienti o clienti effettuato da un medico individuale, da un altro professionista del settore sanitario o da un avvocato oppure il caso di una rivista online che utilizza una mailing list per inviare ai propri abbonati un sommario giornaliero.

In conclusione, sebbene l’obbligo di effettuare una DPIA si applica alle operazioni di trattamento che soddisfano i criteri di cui all’articolo 35 e, avviate dopo che il GPDR diventa applicabile il 25 maggio 2018, il Gruppo di lavoro raccomanda ed incoraggia vivamente di effettuare le DPIA per operazioni di trattamento già in corso prima del maggio 2018.

La Redazione PSB Privacy e Sicurezza presidia e supporta l’intera attività informativa del Portale. Un nutrito gruppo di professionisti ed esperti provenienti da differenti e variegati settori assicura, infatti, una vasta ma altrettanto precisa trattazione per ogni categoria tematica garantendo, quindi, la totale veridicità ed attendibilità del canale di propria competenza. La redazione di PSB Privacy e Sicurezza è attualmente costituita da 9 membri stabili e da un grande numero di collaboratori per un lavoro di background costante ed in continuo aggiornamento.