Trattamenti a rischio elevato

Il GDPR non definisce la nozione di “su larga scala” anche se il considerando (91) fornisce indicazioni in proposito ricomprendendo, in particolare, “trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato“.

Gli elementi identificativi del concetto di “larga scala” secondo il Considerando (91) sono, quindi:

• il profilo quantitativo degli interessati e dei dati
• l’estensione geografica delle implicazioni del trattamento.

Il profilo dimensionale (quantitativo-geografico) influisce direttamente sull’impatto che il trattamento può provocare su diritti e libertà degli individui, tant’è che la “larga scala” è considerato di per sé un criterio che, insieme ad altri, è identificativo del presumibile elevato rischio del trattamento in questione.

“Criteri di individuazione”

Per una più precisa determinazione del concetto di “larga scala” vengono in aiuto le linee guida wp243 rev.01 le quali sottolineano come tale valutazione vada effettuata tenendo in considerazione una pluralità di fattori.

• il numero di interessati, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
• il volume e la gamma dei dati personali trattati;
• la durata dell’attività di trattamento o anche la sua persistenza; e
• l’estensione geografica del trattamento.

Esempi positivi

Sono esempi di trattamenti di dati “su larga scala”

• il trattamento di dati sanitari dei pazienti da parte di un ospedale (sistema informativo ospedaliero)¹
• la raccolta di dati pubblici dei media sociali per la generazione di profili¹
• una rivista online che utilizza una lista di distribuzione per inviare una selezione quotidiana generica ai suoi abbonati²
• trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio)²
• trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food²
• trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività²
• trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale²
• trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici².

Esempi negativi

Alcuni esempi di trattamento non su larga scala sono i seguenti:

• trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
• trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

Nell’ambito delle attività di un responsabile del trattamento

Il concetto di “trattamento su larga scala” può riguardare anche un responsabile del trattamento, in relazione alle prescrizioni a lui direttamente rivolte. Nelle linee guida wp243 rev.01 vengono fatti i seguenti esempi:

• Una piccola azienda a conduzione familiare operante nel settore della distribuzione di elettrodomestici in una città si serve di un responsabile del trattamento la cui attività principale consiste nel fornire servizi di tracciamento degli utenti del sito web oltre all’assistenza per attività di pubblicità e marketing mirati. Le attività svolte dall’azienda e dai clienti non generano trattamenti di dati “su larga scala”, in considerazione del ridotto numero di clienti e della gamma relativamente limitata di attività. Tuttavia, il responsabile del trattamento, che conta numerosi clienti come questa piccola azienda familiare, svolge, nel suo complesso, trattamenti su larga scala.
• Un’azienda di medie dimensioni che produce rivestimenti in ceramica incarica un responsabile esterno della gestione dei servizi di salute occupazionale; tale responsabile ha un numero elevato di clienti con caratteristiche analoghe. Il responsabile del trattamento svolge trattamenti su larga scala mentre lo stesso non può dirsi per l’azienda committente.

Ricorrenze della nozione “su larga scala”

L’espressione “su larga scala” ha una specifica rilevanza ed il regolamento la utilizza in più circostanze;  questo concetto è anche un fattore nel determinare se gli obblighi previsti dal GDPR sono attivati. Ad esempio:

1. le imprese devono nominare un responsabile della protezione dei dati (DPO) se trattano dati personali sensibili su “larga scala” o le loro attività principali comportano il monitoraggio su “larga scala”;
2. le imprese con sede al di fuori dell’UE, ma catturate dal GDPR, devono nominare un rappresentante nella UE se trattano dati personali sensibili su “larga scala”; e
3. sono necessarie valutazioni di impatto (DPIA) se il trattamento prevede dati personali sensibili o il monitoraggio di aree pubbliche su “larga scala”.

“Larga scala” nell’ambito HR

In merito ai trattamenti di dati personali effettuati dalla funzione Risorse umane sorge l’interrogativo se quelli relativi al proprio personale possa considerarsi su “larga scala” e in presenza di quali condizioni.

Le linee guida wp243 rev.01 fatte proprie dall’EDPB riportano questo passaggio: «va sottolineato che il considerando citato si riferisce alle valutazioni di impatto sulla protezione dei dati; ciò significa che non tutti gli elementi citati sono necessariamente pertinenti alla nomina di un RPD negli stessi identici termini»; in altre parole, il significato di “larga scala” riferito ai criteri per l’obbligatorietà della designazione del DPO non è necessariamente lo stesso di quello utilizzato per l’obbligatorietà della DPIA. Tuttavia, pur con questa precisazione ed avvertenza, si può prendere spunto da entrambi i contesti nel tentativo di pervenire ad una definizione del concetto di maggior dettaglio dal punto di vista operativo. In particolare, ci si pone l’interrogativo se la valutazione dimensionale (cioè, il “larga scala”) vada commisurata ad uno scenario esogeno all’azienda ovvero anche al contesto endogeno. Più semplicemente, ci si chiede se la popolazione aziendale possa far scattare il criterio del “larga scala” oppure se, di converso, questo è essenzialmente riferito alla popolazione extra-aziendale.

In aggiunta, qualora si ritenesse plausibile anche la prima interpretazione (cioè includendo nell’elemento definitorio anche la popolazione aziendale) si pone il quesito se l’elemento dimensionale vada commisurato all’intera popolazione aziendale oppure ad una scala dimensionale teorica; più chiaramente, ci si chiede se il “larga scala” sussista ogni volta che il trattamento coinvolga la popolazione dell’azienda-titolare nella sua quasi interezza, qualunque sia la dimensione oggettiva della stessa oppure, in alternativa, se tale criterio si possa ritenere sussistere solo nel caso in cui tale popolazione rappresenti in concreto un livello dimensionale e geografico di per sé rilevante.

Riprendendo il testo del Considerando (91) emerge che la DPIA deve essere effettuata «in particolare (per) i trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati».

Inoltre, le citate linee guida wp243 rev.01, come già riportato così recitano: «Il Gruppo di lavoro raccomanda di tenere conto, in particolare, dei fattori qui elencati al fine di stabilire se un trattamento sia effettuato su larga scala:

• il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
• il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
• la durata, ovvero la persistenza, dell’attività di trattamento;
• la portata geografica dell’attività di trattamento.».

Da tali riferimenti sembra emergere con chiarezza che il criterio del “larga scala” sia intrinsecamente connesso ad un livello dimensionale oggettivo, sia di tipo quantitativo (elevato ammontare di dati e/o numero significativo di interessati, in senso assoluto o in percentuale della popolazione di riferimento) sia di estensione geografica (regionale, nazionale o sovranazionale). Su questa base, si può rispondere in senso negativo alla domanda se il trattamento che coinvolga l’intera popolazione aziendale (o quasi) sia da considerarsi automaticamente “su larga scala”, prescindendo da una valutazione oggettivo del citato livello dimensionale. Infatti, il trattamento sarà “su larga scala” se coinvolge un numero di interessati (per quanto concerne questo profilo) che sia significativo o in termini assoluti (ad es. centinaia di migliaia o milioni di individui) o in misura percentuale alla popolazione di riferimento (ad es. l’80% della popolazione dell’Emilia, o degli anziani della Lombardia, ecc.).

Sull’estremo opposto a quello ora considerato rimane da stabilire se, in modo analogamente automatico, si possa sostenere che il criterio “su larga scala” vada considerato esclusivamente in relazione a interessati e relativi dati personali non riferiti alla popolazione aziendale (es. clienti, consumatori, utenti in genere).

Su questo versante, gli esempi di trattamento “su larga scala” contenuti nelle linee guida wp243 rev.01 – ancorchè riferiti al criterio di obbligatorietà della designazione del DPO (quindi per un contesto diverso dalla DPIA) – sono tutti riferiti a casi esogeni all’azienda; vale a dire:

• pazienti di un ospedale
• utenti di un servizio pubblico
• clienti di una catena internazionale
• clientela di impresa assicurativa o bancaria
• utenti di servizi telefonici o telematici.

Questi esempi farebbero propendere verso un’interpretazione restrittiva che escluda dalla definizione “su larga scala” qualsiasi riferimento alla popolazione aziendale; tuttavia, considerata la ratio della norma finalizzata alla tutela dell’interessato, qualunque sia la sua qualifica, deve ritenersi ammissibile che un trattamento riguardante dati personali di dipendenti possa considerarsi “su larga scala” se tale trattamento risponda ai criteri dimensionali sopra accennati.

In conclusione, in linea pratica, se il trattamento riguarda qualche migliaio di dipendenti, ubicati in area geografica non particolarmente estesa, riguardante quantitativi di dati non massivi, si può ritenere che il criterio del “su larga scala” non trovi riscontro.

Le linee guida wp248 rev. 01 dell’EDPB, nell’indicare i “dati relativi a interessati vulnerabili” tra i nove criteri identificativi dell’elevato rischio, specifica quanto segue: «il trattamento di questo tipo di dati è un criterio a motivo dell’aumento dello squilibrio di potere tra gli interessati e il titolare del trattamento, aspetto questo che fa sì che le persone possono non essere in grado di acconsentire od opporsi al trattamento dei loro dati o di esercitare i propri diritti».

Il Comitato inserisce in questa categoria anche i “dipendenti” aggiungendo che tale criterio sussiste «in ogni caso in cui sia possibile individuare uno squilibrio nella relazione tra la posizione dell’interessato e quella del titolare del trattamento».

Sulla base dei riferimenti citati, deve ritenersi che il criterio dei “soggetti vulnerabili” non sia riscontrabile sempre e comunque con riferimento ai dipendenti in quanto tali, ma solo in quelle circostanze in cui il dipendente si trova in una situazione di squilibrio nella relazione col suo datore di lavoro.

Seguendo questa impostazione interpretativa deve ritenersi che la condizione di squilibrio (e, di conseguenza, la vulnerabilità dei soggetti) non sussista in tutte quelle circostanze in cui il datore non eserciti il suo potere direttivo, ad esempio, quando il datore semplicemente adempia a obblighi di legge (come in materia previdenziale, fiscale, di sicurezza sul lavoro, ambientale, ecc.) oppure si trovi sullo stesso piano del dipendente, ad esempio quando al lavoratore è lasciata ampia discrezionalità decisionale come nella scelta di adesione a indennità liberali (o fringe benefits) o iniziative agevolative discrezionali (es. colonie estive per i figli dei dipendenti).

Viceversa, lo stato di vulnerabilità sussiste in quelle circostanze in cui il dipendente soggiace a scelte imprenditoriali o organizzative cui deve sottostare a causa del proprio rapporto di subordinazione; rientrano in questo ambito, ad esempio, la maggior parte dei trattamenti di dati personali di natura tecnologica o di sicurezza, alcuni trattamenti HR, come quelli sui provvedimenti disciplinari o sui processi valutativi.

Il “monitoraggio sistematico” è uno dei nove criteri per l’individuazione dell’elevato rischio di un trattamento di dati personali, come rilevati dalle linee guida wp248 rev.01 dell’EDPB. Secondo questo documento, vi è monitoraggio sistematico quando il «trattamento (è) utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti (…). Questo tipo di monitoraggio è un criterio in quanto i dati personali possono essere raccolti in circostanze nelle quali gli interessati possono non essere a conoscenza di chi sta raccogliendo i loro dati e di come li utilizzerà. Inoltre, può essere impossibile per le persone evitare di essere soggette a tale trattamento (…).».

Dal brano riportato possono trarsi alcuni elementi che caratterizzano il “monitoraggio”, precisamente:

• il «trattamento (è) utilizzato per osservare, monitorare o controllare gli interessati», quindi, quando il trattamento ha come finalità quella di monitorare, circostanza che farebbe propendere per una sua esclusione nel caso della gestione della posta elettronica che, certamente, non ha come fine quello di controllarne gli utilizzatori
• «gli interessati possono non essere a conoscenza di chi sta raccogliendo i loro dati e di come li utilizzerà» circostanza, questa, che sembra tipica dei tracciamenti online, dei cookie e simili strumenti
• «può essere impossibile per le persone evitare di essere soggette a tale trattamento» aspetto questo che, ad esempio, è presente nella videosorveglianza (sia sul luogo di lavoro, sia in luoghi pubblici).

Sistematicità

Il wp243 rev.01 recante le linee guida in materia di DPO, suggerisce che «(l)’aggettivo “sistematico” ha almeno uno dei seguenti significati:

• che avviene per sistema;
• predeterminato, organizzato o metodico;
• che ha luogo nell’ambito di un progetto complessivo di raccolta di dati;
• svolto nell’ambito di una strategia».

Quindi, il termine “sistematico” indica un’attività continuativa o ripetitiva e non occasionale.

La sistematicità, d’altro canto, non costituisce di per sé un criterio identificativo del “rischio elevato” e non va confusa con l’espressione “su larga scala” che, al contrario, rappresenta il criterio n.5 dei nove indicati nelle linee guida wp248 rev.01. Lo conferma un’indicazione del Comitato nel corso della valutazione di proposte di black list dalle ASN, nell’ambito del meccanismo di coerenza. In tale circostanza, l’EDPB nei riguardi della lista sottoposta dall’ASN del Liechtenstein (parere 1/2019) la quale indicava come DPIA obbligatoria il caso del trattamento “estensivo” di dati biometrici, il Comitato ha sottolineato la necessità di precisare la formulazione, in quanto si sarebbe in presenza di un’alternativa: o la natura “estesa” del trattamento significa che il trattamento è effettuato “su larga scala”, nel qual caso la descrizione dovrebbe essere modificata per fare specifico riferimento a questo criterio, oppure significa semplicemente che il criterio è sistematicamente usato, nel qual caso occorre che vi sia un altro criterio per far scattare l’obbligatorietà.

Da ciò emerge che la “sistematicità” non solo non è sinonimo di “larga scala” ma non è nemmeno di per sé un criterio identificativo del presumibile “rischio elevato”.

Esempi di sistematicità di approccio sono l’utilizzo di dati raccolti tramite un sistema di televisione a circuito chiuso oppure l’impiego dei dati di un sistema di geolocalizzazione (ad esempio, derivanti dal tracciamento WiFi o Bluetooth).

Queste indicazioni non sempre sono chiare e di aiuto per una loro applicazione pratica; forse è di maggiore utilità rappresentare la sistematicità come riferimento negativo ai suoi opposti: occasionalità, temporaneità, accessorietà; in presenza anche di uno solo di queste caratteristiche si dovrebbe ritenere comprovata l’assenza di sistematicità.

In pratica, se vi è “monitoraggio”, secondo quanto precisato in precedenza, la “sistematicità” è presente in tutte quelle circostanze oggetto di processi aziendali continuativi come in ambito IT, mentre è meno evidente poter configurare un “monitoraggio sistematico” nell’ambito dei trattamenti di dati di pertinenza HR.