Privacy: quando va fatta la valutazione di impatto

di Pietro Gremigni

21 Novembre 2018

Il Garante della privacy ha individuato l'elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d'impatto, in attuazione del regolamento europeo 679/2016 entrato in vigore lo scorso 25 maggio 2018.
Si tratta della delibera 11 ottobre 2018 (G.U. 19 novembre 2018, n. 269) con la quale il Garante pubblica un elenco di quei trattamenti particolarmente a rischio che, in base all'art. 35 del citato regolamento, devono essere sottoposti alla valutazione di impatto.
Per l'art. 35 del reg. 679/2016 quando un tipo di trattamento, mediante l'uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve effettuare, prima di procedere al trattamento stesso, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali.

Presupposti - Le situazioni individuate in cui possono presentarsi rischi elevati per gli interessati sono le seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Valutazione di impatto nel rapporto di lavoro - Il Garante ha indicato, tra i trattamenti soggetti alla valutazione di impatto quelli valutativi o di scoring su larga scala, i trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, i trattamenti sistematici di dati biometrici e di dati genetici, nonché i trattamenti effettuati con l'uso di tecnologie innovative.
In relazione più in particolare al rapporto di lavoro sono ricompresi nell'elenco approvato:
-i trattamenti che profilano gli interessati tra cui, e qui entriamo nella gestione del personale, quelli relativi ad aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità della persona;
-i trattamenti effettuati nell'ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell'attività dei dipendenti.
In tutte le situazioni descritte il datore di lavoro tratta dei dati personali molto delicati che riguardano la personalità del lavoratore oppure l'esercizio di libertà fondamentali, come quelle che riguardano il diritto all'immagine, alla libera circolazione ecc..
In questi casi, oltre ad ottenere le prescritte autorizzazioni come nel caso dei controlli a distanza, occorre attuare le regole sulla privacy non solo fornendo l'informativa agli interessati ma disponendo la valutazione di impatto, una sorta di valutazione rischi mutuata dalla disciplina sulla sicurezza sul lavoro, al fine di ridurre il rischio per i diritti e le libertà degli interessati.

Procedimento – Nei predetti casi va fatta una valutazione circa la natura dei trattamenti rispetto ai predetti criteri. La norma non lo richiede direttamente, ma indubbiamente è opportuno redigerla per iscritto.
Un trattamento può corrispondere ai casi di cui sopra ed essere comunque considerato dal titolare del trattamento un trattamento tale da non "presentare un rischio elevato".
In tali casi il titolare del trattamento deve giustificare e documentare i motivi che lo hanno spinto a non effettuare una valutazione d'impatto sulla protezione dei dati.
Nel caso invece in cui si renda necessario procedere, occorre valutare i rischi per i diritti e le liberta degli interessati e predisporre le misure per affrontarli e dimostrare la conformità al regolamento stesso.
Né il regolamento, né la delibera del Garante chiariscono cosa si debba concretamente fare per ridurre l'impatto sulla privacy; riteniamo che il datore di lavoro debba verificare intanto la proporzionalità dei dati trattati rispetto alle finalità ed eventualmente ridurne il numero; in secondo luogo dovranno essere applicate misure tecniche e organizzative che tutelino la riservatezza dei dati e la loro integrità, proteggendoli da una circolazione diffusa o da intrusioni non autorizzate nei server dove sono allocati i dati.
Ogniqualvolta il titolare del trattamento non sia in grado di trovare misure sufficienti per ridurre i rischi a un livello accettabile (ossia i rischi residui restano comunque elevati) è necessario consultare l'autorità Garante.
Il Garante a questo punto può rilasciare un parere entro otto settimane, prorogabili di altre sei, a cui il titolare del trattamento cioè il datore di lavoro deve uniformarsi.
Può però esercitare i poteri previsti dall'articolo 58 del reg. europeo: chiedere ulteriori informazioni, condurre indagini, contestare presunte violazioni, fino ad arrivare a elevare le sanzioni previste.