Uno dei principali adempimenti previsti dal nuovo Regolamento UE sulla protezione dei dati personali(GDPR) è quello della realizzazione, in alcuni casi, di una valutazione d’impatto sulla protezione dei dati.

Obiettivo del GDPR è la promozione di una cultura volta alla Responsabilizzazione. Nonostante il testo normativo si configuri come guida utile, ricorda gli obblighi a cui ognuno deve rispondere. Obblighi necessari per intraprendere la strada della responsabilizzazione. E’ quindi indispensabile valutare in anticipo quelli che potrebbero essere i rischi connessi alle persone e alle imprese stesse.

La Valutazione d’impatto risponde all’importante principio di Accountability. Sulla base dell’art.35, del Regolamento UE 679/2016, si stabilisce l’obbligo per i titolari di svolgere una valutazione d’impatto quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate. E’ una procedura “standard” che avviene prima dell’inizio del trattamento stesso.

Una DPIA inoltre, può riguardare un singolo trattamento oppure più trattamenti che presentino analogie in termini di natura, ambito, contesto, finalità e rischi. Nello specifico: “la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali”.

Data la sua utilità si suggerisce di valutarne l’impiego per tutti i tipi di trattamento, anche quando la valutazione non è obbligatoria.

Responsabilità

Ricordando che si tratta di una procedura condotta prima del procedimento del trattamento e comprendendo che tale processo necessita di revisione continua e non “una tantum”, la responsabilità della DPIA spetta al Titolare del trattamento, con il Responsabile della protezione dei dati e i Responsabili del trattamento.

Compito del Titolare è quello di garantire l’osservanza delle disposizioni del GDPR e dimostrare adeguatamente in che modo vengono garantite tali osservanze, assicurandosi inoltre che la valutazione d’impatto sulla protezione dei dati venga eseguita.

Ogni Titolare - e qui si richiama ill principio di responsabilizzazione - è chiamato a:

• tenere un registro delle attività di trattamento svolte sotto la propria responsabilità che include tra l’altro, le finalità del trattamento;

• una descrizione delle categorie di dati e di destinatari dei dati;

• una descrizione generale delle misure di sicurezza tecniche e organizzative.

Un altro obbligo per il Titolare è quello di consultarsi con il Responsabile della Protezione dei Dati(RPD) qualora ne sia designato uno. Il parere ricevuto, così come le decisioni prese dal titolare del trattamento, devono essere documentate all’interno della valutazione d’impatto sulla protezione dei dati. Il responsabile della protezione dei dati deve altresì sorvegliare lo svolgimento della valutazione d'impatto sulla protezione dei dati.

Qualora il trattamento venga eseguito in toto o in parte da un responsabile del trattamento dei dati, quest'ultimo deve assistere il titolare del trattamento nell'esecuzione della valutazione d'impatto sulla protezione dei dati e fornire tutte le informazioni necessarie.

La valutazione d’impatto deve essere vista come buona prassi. E’ uno strumento importante in cui si possono ricavare indicazioni utili a prevenire incidenti futuri. Ovviamente ci sono rischi e rischi…

Facciamo qualche esempio

Ci sono una serie di esempi concreti su quali siano le tipologie di trattamento a rischio:

• raccolta di informazioni a cui l’interessato non può in linea di massima sottrarsi come videosorveglianza di area pubblica di passaggio;

• applicazione di schemi predittivi sul comportamento o sulla salute dell’interessato;

• trattamento svolto nei riguardi di minori, lavoratori e altri soggetti vulnerabili;

• uso di nuove tecnologie come ad es. Internet of Things;

• trattamento avente ad oggetto di dati sensibili o comunque strategici (es. informazioni di geolocalizzazione o finanziarie) o di elevati volumi di dati (“larga scala”) o combinazioni di informazioni diverse;

• circolazione di dati personali extra-UE verso paesi che non offrono adeguate garanzie, dunque rischio di fuoriuscita da uno spazio di garanzie.

Un Software d’ausilio per la valutazione DPIA

Grazie all’ Autorità francese per la protezione dei dati, la CNIL, è stato creato un software di ausilio a tutti i titolari. E’ uno strumento utile ai fini di una valutazione d’impatto o del rischio.

Il software è gratuito e liberamente scaricabile, anche nella versione italiana ( quest’ultima messa a punto con la collaborazione del Garante Italiano per la protezione dei dati personali insieme alle Autorità francesi) dal sito: www.cnil.fr . Precisiamo che il software non deve essere considerato un modello unico al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito come ausilio soprattutto per le PMI. In ogni caso indica gli elementi principali di cui si compone la procedura di valutazione d’impatto.

Occorre segnalare che il software è in continuo sviluppo, con revisioni cicliche. Infatti è ora disponibile la versione 1.6.3 (www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8581268) con nuove funzionalità e alcuni bug corretti.

Al di là dei requisiti di legge, la valutazione d’impatto deve diventare una consuetudine e un obbligo morale più che normativo. Si potrebbe quasi dire una condicio sine qua non, indispensabile a proteggere tutte le realtà coinvolte dall’intero sistema digitalizzato e non solo.