DPIA: Cum se face, pas cu pas, o evaluare a impactului asupra protecției datelor

Grupul de Lucru Art. 29, actualul European Data Protection Board, a emis, în 4 octombrie 2017, o versiune revizuită a documentului intitulat Orientări privind evaluarea impactului asupra protecției datelor (DPIA) și modul în care se determină dacă prelucrarea este „susceptibilă să genereze un risc ridicat" în sensul GDPR. Documentul este important pentru că interpretează practica realizării evaluărilor de impact asupra datelor personale, oferind indicii pentru definirea unei DPIA acceptabile din perspectiva GDPR.

DPIA, necesară atunci când riscurile prelucrării sunt ridicate

Articolul 35 alineatul (3) al GDPR prevede și o serie de exemple în cazul cărora o operațiune de prelucrare este „susceptibil[ă] să genereze riscuri ridicate", după cum urmează:

• în cazul unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
• în cazul prelucrării pe scară largă a unor categorii speciale de date, menționate la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10;
• unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Pașii de urmărit la realizarea evaluării de impact

Potrivit Autorității de Supraveghere din Marea Britanie, se urmează pașii de mai jos:

• pasul 1: identifică nevoia de evaluare de impact;
• pasul 2: descrie prelucrarea;
• pasul 3: ia în considerare consultarea Autorității de Protecție;
• pasul 4: analizează necesitatea și proporționalitatea;
• pasul 5: identifică și evaluează riscul;
• pasul 6: identifică măsuri care limitează riscurile;
• pasul 7: documentați și înregistrați rezultatele analizele;
• pasul 8: integrați rezultatele în planul de proiect;
• pasul 9: reiau permanent argumentele din evaluarea de impact, pentru a analiza dacă se schimbă ceva din perspectiva rezultatului acesteia.

Sună complicat? Sugestia nostră ar fi să utilizați aplicația software creată de Autoritatea de Supraveghere din Franța, cu privire la conducerea și organizarea procesului de realizare a unei evaluări de impact. Se pot, de asemenea, utiliza modelele pe care diferite Autorități le pun la dispoziția publicului, pentru conducerea și realizarea unei evaluări de impact.

DPIA nu e echivalentă cu alte evaluări

Se confundă, de multe ori, evaluările de impact din perspectiva GDPR și procesele de evaluare pe care o organizație le parcurge în procesul de certificare ISO, spre exemplu. Sau, mai nou, se confundă evaluările de impact din GDPR și evaluările de risc la adresa securității fizice, impuse de cadrul operat prin Hotărârea Guvernului nr. 301/2012 pentru aprobarea Normelor metodologice de aplicare a Legii nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor.

În realitate, DPIA din cadrul GDPR este un instrument de gestionare a riscurilor pentru drepturile persoanelor vizate și, prin urmare, preia perspectivele acestora atunci când se face evaluarea. Riscurile se reflectă deci asupra pesoanelor vizate. Dimpotrivă, gestionarea riscurilor în alte domenii (de exemplu, securitatea informațiilor, securitatea fizică) se concentrează asupra organizației. În acest din urmă caz, organizația este cea care "ferită" de riscuri.

Criterii pentru o evaluare de impact acceptabilă

Grupul de Lucru introduce în discuție nouă tipuri de puncte pe care le poate bifa o prelucrare. Un operator de date poate să considere că o prelucrare care îndeplinește două puncte ar necesita efectuarea unei DPIA.

În general, se consideră că, pe măsură ce sunt îndeplinite tot mai multe criterii de prelucrare, aceasta este mai susceptibilă să prezinte un risc ridicat și, prin urmare, să necesite o DPIA, indiferent de măsurile pe care operatorul intenționează să le adopte.

Punctele despre care vorbește Grupul de Lucru sunt:

• prelucări care au ca efect evaluarea sau punctarea (crearea de profiluri);
• deciziile automate cu efect juridic sau similar semnificativ;
• monitorizarea sistematică;
• prelucrarea de date sensibile sau date foarte personale;
• prelucrarea pe scară largă a unor date personale;
• corelarea sau combinarea seturilor de date personale;
• prelucrarea de date privind persoane vizate vulnerabile;
• utilizarea inovatiilor ori a unor solutii tehnologice / organizationale noi;
• atunci când prelucrarea în sine „împiedică persoanele vizate să exercite un drept sau să utilizeze un serviciu ori un contract".

O evaluare de impact poate fi realizată urmându-se mai multe tipuri de metodologii. Nu există un standard de aur în acest caz și nici modele care trebuie urmate strict. Ghidul DPIA emis de Grupul de Lucru Art. 29, la care am făcut trimitere mai sus, conține, în Anexa 2, o serie de criterii care trebuie bifate de fiecare evaluare de impact pentru ca ea să fie conformă prevederilor GDPR.

Grupul propune următoarele criterii pe care operatorii de date le pot utiliza pentru a determina dacă o DPIA sau o metodologie pentru efectuarea unei DPIA este suficient de cuprinzătoare pentru a respecta GDPR:

• este furnizată o descriere sistematică a prelucrării:
  • natura, domeniul de aplicare, contextul și scopurile prelucrării sunt luate în considerare (considerentul 90);
  • sunt înregistrate datele cu caracter personal, destinatarii și perioada pentru care datele cu caracter personal vor fi stocate;
  • este furnizată o descriere funcțională a operațiunii de prelucrare;
  • sunt identificate activele pe care se bazează datele cu caracter personal (hardware, software, rețele, persoane, hârtia sau canalele de transmisie a hârtiei);
  • respectarea codurilor de conduită aprobate este luată în considerare;

• sunt stabilite măsurile avute în vedere pentru respectarea regulamentului, privind evaluarea necesității și proporționalității, luând în considerare:
  • măsurile care contribuie la proporționalitatea și necesitatea prelucrării pe baza: scopului sau a scopurilor determinate, explicite și legitime, legalității prelucrării, datelor adecvate, relevante și limitate la ceea ce este necesar, duratei limitate legate de stocare;
  • măsurile care contribuie la drepturile persoanelor vizate: informațiile furnizate persoanei vizate, dreptul de acces și dreptul la portabilitatea datelor, dreptul la rectificare și dreptul la ștergere, dreptul la opoziție și la restricționarea prelucrării, relațiile cu persoanele împuternicite de operator, garanțiile privind transferul (transferurile) internațional(e), consultarea prealabilă;

• riscurile pentru drepturile și libertățile persoanelor vizate sunt gestionate:
  • originea, natura, specificitatea și gravitatea riscurilor sunt evaluate (a se vedea considerentul 84) sau, mai precis, pentru fiecare risc (accesul nelegitim, modificările nedorite și dispariția de date) din punctul de vedere al persoanelor vizat;
  • măsurile preconizate în vederea abordării respectivelor riscuri sunt determinate;

• părțile interesate sunt implicate:
  • avizul DPO este solicitat;
  • avizele persoanelor vizate sau ale reprezentanților acestora sunt solicitate, dacă este cazul.

Începând din 25 mai 2018, GDPR reprezintă cadrul legal european unic în materie de prelucrare și protecție a datelor personale.