DPIA: raccomandazioni e avvertenze

La DPIA strumento di accountability e di affidabilità

Il GDPR pone a disposizione delle pubbliche amministrazioni e delle imprese, che rivestono il ruolo di titolare del trattamento, uno straordinario strumento di accountability: la valutazione di impatto sulla protezione dei dati personali, diffusamente nota con l'acronimo DPIA (Data Protection Impact Assessment).

Si tratta di un processo, analiticamente documentato, finalizzato a garantire la regolarità dei trattamenti a rischio elevato e a dimostrare, contestualmente, la conformità delle relative attività ai principi di data protection fissati nell'art. 5 GDPR.

Serve quindi a rafforzare il rispetto dei principi di dati personali posti a presidio dei diritti e libertà fondamentali delle persone e costituisce un'implementazione dell'obbligo generale, al quale sono soggetti i “titolari”, di gestire adeguatamente i rischi inerenti ai trattamenti di dati personali.

In sintesi, la DPIA è una preziosa fonte di affidabilità dei processi per la cui stesura è, però, necessario far ricorso alle competenze di specifici professionisti, abili nella progettazione e ottimizzazione dei processi operativi aziendali (il c.d. Process Design) e nella gestione del rischio (il c.d. Risk Management). Ma questo non basta. Nel contempo, bisogna anche tener conto di specifiche raccomandazioni e seguire particolari avvertenze che, costituendo vincoli e condizioni di efficacia della stessa DPIA, meritano di essere esaminate con particolare attenzione.

Il timing della DPIA

Si è detto che la DPIA è un processo che, quindi, comprende un input, uno sviluppo ed un output. Particolare importanza assume, pertanto, la definizione della specifica scansione temporale delle attività che determina la validità e l'efficacia dell'intero processo di valutazione.

Per cui, in sostanza, quando deve essere eseguita una DPIA? L'art. 35, par. 1 GDPR fissa una regola generale: la DPIA deve essere sviluppata “prima di eseguire il trattamento”.

Ecco allora un primo vincolo da considerare ed una prima raccomandazione: questa regola generale va applicata in una dimensione di autentica e realistica proattività.

Così, ad esempio, andando nel concreto, una pubblica amministrazione che preveda l'adozione di soluzioni digitali, da utilizzare per offrire servizi pubblici, dovrebbe eseguire una DPIA ancor prima di predisporre il capitolato per l'acquisto degli strumenti hardware e software. Ciò perché, un prodotto tecnologico, se acquistato prima di eseguire una DPIA, potrebbe rivelarsi non adeguato, all'esito del processo di valutazione, con possibile conseguente danno all'erario.

Inoltre, sempre in fase di predisposizione del capitolato, è auspicabile anche che la stessa pubblica amministrazione prenda in considerazione l'opportunità di acquistare strumenti hardware e software che siano “privacy embedded into design”, che abbiano, cioè, la privacy incorporata nel design e che magari siano anche già “corredati” da una DPIA.

Al riguardo, le Linee Guida dei Garanti Europei WP 248 rev. 01 evidenziano proprio come una DPIA possa essere utile anche per valutare l'impatto sulla protezione dei dati di un prodotto tecnologico - ad esempio un dispositivo hardware o un software - qualora sia probabile che lo stesso venga utilizzato da titolari del trattamento distinti per svolgere tipologie diverse di trattamento.

Ovviamente, un titolare del trattamento che acquisti e utilizzi detto prodotto resta sempre soggetto all'obbligo di svolgere la propria DPIA. Tuttavia nell'eseguire la sua valutazione, titolare del trattamento potrà, se ritenuto opportuno, utilizzare le informazioni fornite nella valutazione analoga preparata dal fornitore del prodotto.

Lo sviluppo strutturato della DPIA

Circa le modalità di esecuzione della DPIA, le Linee Guida WP 248 rev.01 chiariscono che i titolari del trattamento possono ricorrere a metodologie diverse per garantire il buon esito del processo di valutazione. Però, al fine di consentire l'esistenza di tali approcci distinti, gli stessi Garanti Europei hanno individuato dei criteri comuni che sono fissati nell'allegato 2 alle stesse Linee Guida WP 248 rev.01. Tali criteri chiariscono i requisiti essenziali del GDPR, offrendo contestualmente un campo di applicazione tale da consentire la coesistenza di forme diverse di attuazione. Spetta dunque al titolare del trattamento scegliere una metodologia che, comunque, deve essere sempre conforme ai criteri di cui al citato allegato 2.

Quindi, attenzione: lo sviluppo di una DPIA deve essere necessariamente strutturato secondo le indicazioni operative contenute nell'allegato 2 alle Linee Guida WP 248 rev.01 .

Queste indicazioni operative possono essere idealmente raggruppate in 4 fasi che prevedono:

• la descrizione sistematica del trattamento che si va progettando;
• la determinazione delle misure previste per dimostrare la conformità che, peraltro, contribuiscono alla proporzionalità e alla necessità del trattamento oggetto della DPIA;
• la gestione dei rischi per i diritti e le libertà degli interessati;
• il coinvolgimento del DPO e delle parti interessate.

La stesura della DPIA in modo così strutturato si rivela molto utile anche in caso di consultazione preventiva dell'Autorità Garante che risulta agevolata nell'eseguire il controllo delle attività documentate e può più facilmente rilasciare un parere sulla DPIA.

Il coinvolgimento degli interessati

Secondo quanto stabilito dall'art. 35, par. 9 GDPR il titolare del trattamento deve raccogliere le opinioni degli interessati o dei loro rappresentanti, “se del caso”. Pertanto, qualora sussistano favorevoli condizioni, il titolare è chiamato a coinvolgere gli interessati chiedendo una loro opinione. Può farlo attraverso una varietà di mezzi che, a seconda del contesto, possono essere, ad esempio, indagini abituali inviate ai futuri clienti dello stesso titolare del trattamento o anche una domanda posta ai rappresentanti del personale.

In ogni caso, è sempre bene tener presente un'ulteriore cruciale avvertenza, connessa alla circostanza che la raccolta delle opinioni degli interessati costituisce un autonomo trattamento, affatto distinto da quello oggetto della DPIA.

Per questo motivo, per raccogliere le opinioni degli interessati, il titolare del trattamento deve sempre assicurarsi di disporre di una relativa base giuridica valida. Al riguardo, è opportuno osservare come, stante la possibile sproporzione di potere tra il titolare e gli interessati, sia improbabile che il consenso venga prestato liberamente, in tutte le circostanze di tali situazioni specifiche.

La pubblicazione della DPIA

Non sussiste l'obbligo di pubblicare la DPIA. Tuttavia si raccomanda di considerare che pubblicarne una parte potrebbe contribuire a migliorare la trasparenza, ponendo gli interessati nelle migliori condizioni per capire come e perché saranno utilizzati i loro dati personali. Viene, in tal modo, anche stimolata la fiducia nei confronti dei trattamenti effettuati dal titolare.

Attenzione: una DPIA pubblicata non deve necessariamente contenere l'intera valutazione, soprattutto qualora essa riporti specifiche informazioni relative ai rischi per la sicurezza per il titolare o anche segreti commerciali o, ancora, informazioni commerciali sensibili. In queste circostanze, la versione pubblicata potrebbe consistere soltanto in una sintesi delle principali risultanze della stessa DPIA o addirittura soltanto in una dichiarazione nella quale si affermi che la DPIA è stata condotta.

Il riesame

Al termine del processo di valutazione, il titolare del trattamento ha l'obbligo di conservare una registrazione della DPIA da esibire all'Autorità Garante in caso di controlli. Non bisogna però considerare la DPIA come un esercizio una tantum da archiviare. Occorre, invece, realizzare che è un processo "vivo", che aiuta a gestire e rivedere i rischi del trattamento e le misure messe in atto su base continuativa.

Ecco allora un'ulteriore avvertenza: è necessario prevedere il riesame periodico della DPIA che va comunque eseguito ogni volta che si registra una variazione dei rischi come ad esempio l'identificazione di una nuova vulnerabilità dei sistemi o delle reti.

Conclusioni

Quanto finora descritto è funzionale a far comprendere quanto la DPIA sia importante per garantire e dimostrare la compliance dei trattamenti di dati personali a rischio elevato nonché per potenziare l'affidabilità dei processi di imprese e pubbliche amministrazioni.

È un requisito legale ed una parte essenziale degli obblighi attribuiti dal GDPR al titolare del trattamento. Questo prezioso strumento si rivela però efficace solo se sviluppato rispettando i requisiti essenziali che sono stabiliti nell'art. 35 GDPR e analiticamente declinati nell'allegato 2 alle Linee Guida WP 248 rev.01.

Come si è visto tutte le indicazioni operative riportate nel citato allegato 2, costituiscono un imprescindibile vincolo per la validità del processo valutativo. Comunque la DPIA non va vista solo come un esercizio di conformità ma anche come una leva di efficienza organizzativa che consente di identificare e risolvere i problemi di un progetto o di un piano in una fase iniziale, apportando ampi vantaggi sia alle persone che alle organizzazioni.