L’articolo 35 del GDPR, al comma 1, stabilisce che «quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle personefisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali». La valutazione d’impatto o Data Protection Impact Assessment (DPIA), si legge nel medesimo articolo, al comma 3, è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche
b) il trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Le raccomandazioni delle Authority Privacy UE riguardo al DPIA
Il 4 aprile 2017 il Gruppo articolo 29 (WP 29), che raduna le autorità nazionali in materia di privacy (oggi EDPB, European Data Protection Board), ha pubblicato le linee guida per l’attuazione del DPIA chiarendo soprattutto quando ricorrere alla valutazione d’impatto. Poiché, infatti, l’art. 35 ne sancisce l’obbligatorietà soltanto nei casi specificati al comma 3, molte aziende si potrebbero sentire esonerate dal doverla effettuare. Proprio per questo l’ex WP 29 ha sottolineato che, nei casi dubbi, è bene svolgere comunque il DPIA che rappresenta, in ogni caso, uno strumento utile affinché i titolari del trattamento rendano compliant la propria organizzazione a quanto prescrive il regolamento GDPR. Questo perché, supponendo che l’azienda non gestisca le “categorie particolari di dati personali” a cui fa riferimento il punto b (che possano rivelare, cioè, origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici e biometrici, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale), è assai probabile che invece disponga di un data base e di sistemi automatici, per esempio, per la profilazione dei clienti, come invece indicato nel punto a. Ne consegue che il titolare del trattamento, con l’eventuale ausilio del responsabile della protezione dei dati o Data Protection Officer (DPO), è chiamato a eseguire un DPIA o a motivare perché non ha ritenuto necessario doverlo fare.
La valutazione d’impatto come processo continuativo
La valutazione d’impatto, perciò, tiene insieme i criteri di privacy con i quali evidenziare i dati che richiedono particolare protezione, unitamente ai metodi e alle procedure da implementare per la loro maggior tutela. Si intuisce perché la realizzazione di un DPIA vada intesa come un processo continuativo e non tanto come un esercizio da compiere una volta per tutte. Alcune tappe dell’assessment iniziale (mappatura degli asset, analisi delle vulnerabilità e misure di sicurezza adeguate) vanno ripetute periodicamente. Basti pensare che se cambia un fornitore, tipicamente un Cloud provider, è responsabilità del titolare del trattamento accertarsi che anche questi risponda ai criteri di protezione definiti con il DPIA. O ancora, nel caso in cui vengano utilizzate nuove applicazioni per la raccolta e l’utilizzo dei dati, è fondamentale che il loro impiego non sia lesivo dei parametri cosiddetti RID, cioè di riservatezza, integrità e disponibilità.
Su come procedere al DPIA, non esistono indicazioni tecniche specifiche, quali ad esempio tipologie di software o sistemi digitali ad hoc. Ragion per cui la consulenza del DPO può risultare determinante anche nella scelta degli strumenti idonei a compiere la valutazione d’impatto ex ante e nei momenti successivi. Momenti, è bene ricordarlo, nei quali le fasi dell’assessment non devono essere replicate, ogni volta, come in occasione della messa a punto del DPIA, ma servono a focalizzare l’attenzione su quegli elementi suscettibili di aggiornamento (nuovi applicativi, diverso Cloud provider, riassetto organizzativo ecc.).