Spesso confusa con una sbrigativa analisi dei rischi preventiva, la valutazione di impatto – o DPIA – è in alcuni casi un obbligo per il titolare del trattamento, in altri una misura caldamente consigliata dal Garante.
Con l’entrata in vigore del GDPR, il nuovo approccio al trattamento dei dati personali, incentrato sul principio di accountability, induce il titolare a preoccuparsi di predisporre le misure di sicurezza più efficace non incorrere in violazioni e sanzioni. A tal fine, la valutazione di impatto svolge spesso un ruolo strategico di fondamentale rilevanza. Questa consiste in un vero e proprio screening di tutti i trattamenti di dati personali realizzati dal titolare, con la specifica indicazione dei rischi potenziali e delle soluzioni adottate per garantire il rispetto del GDPR.L’obiettivo della valutazione di impatto, chiamata anche DPIA (Data Protection Impact Assessment) è di descrivere il trattamento, valutarne la necessità e la proporzionalità e contribuire a gestire i rischi per i diritti e le libertà delle persone derivanti dal trattamento medesimo.
Grazie alla DPIA è possibile individuare le misure, le garanzie e i meccanismi più idonei ad attenuare il rischio e assicurare la conformità del trattamento alle norme del GDPR.
Si tratta di uno strumento importante anche in termini di responsabilizzazione (accountability) in quanto consente al titolare non soltanto di rispettare le prescrizioni del regolamento, ma anche di attestare di aver adottato misure idonee a garantire il rispetto della normativa.
Stando alla lettera del Regolamento europeo, la valutazione di impatto è obbligatoria in pochi casi (trattamento automatizzato; su larga scala per categorie particolari di dati; sorveglianza su larga scala). Tuttavia, è più prudente fare riferimento al concetto, previsto dallo stesso GDPR, di “rischio elevato” e predisporre una DPIA ogniqualvolta dal trattamento possano derivare rischi elevati per i diritti e le libertà delle persone fisiche. La definizione di “rischio elevato”, però, appare molto ampia e potrebbe potenzialmente applicarsi ad una serie eccessiva di situazioni. Pertanto, nel 2017, sono state elaborate delle linee guida che aiutano a circoscrivere i casi in cui sia necessario effettuare una valutazione di impatto preventiva. Su queste indicazioni il Garante per la protezione dei dati personali ha emanato un provvedimento, nel 2018, contenente una lista di ipotesi in cui si ritiene necessario effettuare una DPIA:
- Trattamenti valutativi o di scoring effettuati su larga scala, profilazione, attività predittive;
- Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici;
- Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati;
- Trattamenti su larga scala di dati aventi carattere estremamente personale, compreso dati connessi alla vita privata o familiare o che incidono su un diritto fondamentali (come i dati sull’ubicazione);
- Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
- Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, pazienti…)
- Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT), sistemi di intelligenza artificiale;
- Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
- Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. pagamenti effettuati tramite tecnologia mobile);
- Trattamenti di categorie particolari (ex dati sensibili) oppure di dati relativi a condanne penali e areati;
- Trattamenti sistematici di dati biometrici;
- Trattamenti sistematici di dati genetici.
Detto ciò, ad effettuare la DPIA, come accennato, dovrà essere il titolare del trattamento, che potrà, ovviamente, farsi affiancare da soggetti più qualificati, come un DPO. La valutazione di impatto deve naturalmente essere condotta prima di procedere al trattamento ed è buona norma prevedere un riesame continuo dei suoi esiti, ripetendo la valutazione a intervalli regolari.