La valutazione di impatto privacy preventiva è necessaria se il trattamento, quando prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità, può presentare un rischio elevato per i diritti delle persone fisiche (articoli 35 e 36 del Gdpr).
Ma che cosa si intende per valutazione preventiva di impatto privacy (Dpia)? L’articolo 35 del Regolamento Ue/2016/679 definisce la Dpia come una procedura che mira a descrivere un trattamento di dati per valutarne la necessità e proporzionalità, e i relativi rischi, allo scopo di approntare misure idonee ad affrontarli.
A questo proposito, i Garanti della Privacy a livello europeo, hanno elaborato delle Linee Guida (aggiornate il 4 ottobre 2017) ove sono stati individuati alcuni trattamenti che richiedono necessariamente una valutazione di impatto privacy «in virtù del loro rischio intrinseco». Nello specifico, i Garanti individuano nove criteri quali: i trattamenti valutativi o di scoring, compresa la profilazione; decisioni automatizzate che producono significativi effetti giuridici; il monitoraggio sistematico (ad esempio con videosorveglianza); il trattamento di dati sensibili, giudiziari o di natura strettamente personale; il trattamento di dati su larga scala; combinazione o corrispondenze di dati; dati relativi a soggetti vulnerabili (ad esempio minori, lavoratori dipendenti); uso o applicazione di nuove tecnologie; trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio (ad esempio è il caso delle banche per erogare un credito).
La valutazione preventiva di impatto privacy, in breve, dovrà contenere una descrizione dei trattamenti previsti e delle relative finalità; una valutazione della necessità e proporzionalità del trattamento; una valutazione dei rischi per i diritti e le libertà delle persone fisiche e le misure previste per affrontare i rischi e dimostrare la conformità dei trattamenti rispetto al Gdpr. La valutazione di impatto privacy è necessaria nel caso di sistemi integrati - sia pubblici, sia privati - che collegano telecamere tra soggetti diversi, o nel caso di sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, per rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli.
La valutazione d’impatto sulla protezione dei dati è sempre richiesta, in particolare, in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (articolo 35, paragrafo 3, lettera c) del Gdpr) e negli altri casi indicati dal Garante con il provvedimento 467 dell’11 ottobre 2018. In quest’ultima deliberazione, l’Autorità Garante per la Privacy ha individuato un elenco delle tipologie di trattamenti, comunque non esaustivo, da sottoporre a valutazione d’impatto. Nell’ambito di questo elenco (al punto 5) il Garante comprende anche i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e geolocalizzazione) dai quali derivi la possibilità di un controllo a distanza dell’attività dei lavoratori dipendenti.