Da quando il GDPR è entrato nelle nostre vite, abbiamo ogni giorno a che fare con espressioni di cui è fondamentale conoscere il significato, soprattutto se si ha un’azienda che, online e non solo, raccoglie dati personali. In questi frangenti, è naturale informarsi su cosa implica la valutazione impatto privacy. Se vuoi scoprire cos’è e perché è importante, non devi fare altro che seguirci nelle prossime righe di questo articolo.
Cosa si intende per valutazione impatto privacy
La prima cosa da dire in merito alla valutazione impatto privacy è che si tratta, come esplicitato dall’articolo 35 del Regolamento Europeo, di un compito che deve essere gestito dal titolare del trattamento dei dati. Il suo scopo è molto importante: grazie a questa procedura, nota anche come Data Protection Impact Assessment, si assicura agli interessati la massima trasparenza per quanto riguarda il trattamento dei dati.
Al centro dell’attenzione c’è l’analisi del rischio, che deve vedere alla base un approccio preventivo. Ciò vuol dire che, in concreto, il titolare del trattamento dei dati è tenuto, prima di iniziare lo stesso, a valutare i suoi rischi in merito a diversi aspetti, che vedono in primo piano la libertà degli interessati (ma anche la sicurezza delle loro sostanze economiche nei casi in cui, per esempio, si ha a che fare con dati che possono portare terzi ad acquisire le informazioni per l’accesso a un conto corrente). In questa fase, è cruciale il lavoro in sinergia tra il titolare del trattamento dei dati e il responsabile. Il secondo è infatti tenuto a fornire al primo tutte le informazioni necessarie per concretizzare nel migliore dei modi la valutazione preventiva dei rischi.
Un aspetto fondamentale da sottolineare riguarda la decisione che il titolare deve prendere: questa figura è tenuta a valutare in maniera autonoma se il livello di rischio è tale da consentire o meno di procedere con l’esecuzione del trattamento. Attenzione: può tranquillamente capitare che non si ritenga il livello di rischio sopra citato sufficientemente basso da permettere di trattare i dati in sicurezza. In questo frangente, sarà chiaramente necessario intervenire con delle misure ad hoc per eliminarlo o ridurlo.
Cosa fare nelle situazioni in cui il titolare del trattamento dei dati non riesce a venire a capo di quest’ultimo aspetto? Nei frangenti in cui non si riesce ad arrivare a una soluzione per quanto riguarda la riduzione o l’eliminazione del rischio, ci si può rivolgere all’Autorità di Controllo.
Il ruolo del DPO
Anche se tutti gli oneri spettano di fatto al titolare, come abbiamo visto nel corso del suo lavoro è affiancato da diverse figure. Una di queste è il DPO (acronimo per Data Protection Officer). Qual è il suo ruolo nell’ambito della valutazione di impatto della privacy? Al DPO spetta il compito di fornire, nei casi in cui riceve richiesta in merito, un parere in merito al processo di valutazione. Inoltre, questa figura ha le competenze, sempre quando richiesto, per sorvegliarne lo svolgimento. Il quadro appena descritto può presentare diverse eventualità. Una di queste chiama in causa le situazioni in cui non c’è concordanza tra il parere del DPO e il punto di vista del titolare del trattamento. Cosa succede in questi casi? Che il titolare è tenuto a documentare dettagliatamente le motivazioni del suo dissenso rispetto alla valutazione tecnica del DPO.
La valutazione d’impatto privacy è sempre necessaria?
La risposta è no: la valutazione di impatto della privacy non deve essere sempre concretizzata. Questo aspetto rappresenta una grossa differenza rispetto alla valutazione di sicurezza, che va invece considerata in tutte le tipologie di trattamenti. Si interviene invece con la valutazione impatto privacy solo nei casi in cui è previsto l’utilizzo di tecnologie digitali e, come già specificato, un rischio concreto per la libertà e la sicurezza degli interessati.
Un’altra eventualità in cui si rende necessaria la valutazione d’impatto sono i casi in cui il trattamento prevede il fatto di avere a che fare con dati sensibili aventi rilevanza giuridica.