Che cosa esamina una valutazione d’impatto sulla protezione dei dati, analizziamo le Linee Guida del Garante Privacy

La valutazione d’impatto sulla protezione dei dati, o anche conosciuta come DPIA, è un processo che intende descrivere il trattamento dei dati personali al fine di valutarne la necessità e la proporzionalità. Questo è teso allo scopo di contribuire nella gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli, ed è imposto dallo stesso testo del GDPR.

Valutazione DPIA, singola o comune

Orbene, la valutazione d’impatto sulla protezione dei dati può riguardare anche una singola operazione di trattamento dei dati. In effetti, le DPIA mirano a studiare sistematicamente nuove situazioni che potrebbero portare a rischi elevati per i diritti e le libertà delle persone fisiche e, per tale ragione, non appare essenziale che si realizzi una valutazione d’impatto sulla protezione dei dati nei casi, che sono già stati esaminati. Un esempio potrebbe essere il caso in cui si utilizzi una tecnologia analoga per il raccoglimento della stessa tipologia di dati per le medesime finalità; in concreto si pensi ad un gruppo di autorità comunali che istituiscono ognuna un sistema di televisione a circuito chiuso analogo, in detto caso si potrebbe svolgere una singola valutazione d’impatto sulla protezione dei dati in grado di coprire il trattamento svolto da questi titolari del trattamento ancorché distinti. In tali casi, occorre condividere e rendere pubblicamente accessibile la valutazione d’impatto sulla protezione dei dati effettuata, nonché realizzare le misure descritte nella stessa, e fornire una giustificazione per la realizzazione di una singola valutazione d’impatto sulla protezione dei dati.

Laddove il trattamento sulla protezione dei dati personali coinvolga più titolari in posizione di contitolarità del trattamento, questi ultimi devono circoscrivere con precisione le rispettive competenze. La loro valutazione DPIA deve stabilire quale parte sia competente per le varie misure volte a trattare i rischi e a proteggere i diritti e le libertà degli interessati. Dunque, ciascun titolare del trattamento, dicono le linee guida del Garante Privacy italiano, deve riferire sulle proprie esigenze e condividere informazioni adatte senza compromettere eventuali segreti o divulgare dati sensibili.

Valutazione DPIA per un prodotto tecnologico

Una valutazione d’impatto sulla protezione dei dati può essere, ancora, utile per valutare l’impatto sulla protezione dei dati di un prodotto tecnologico, ad esempio un dispositivo hardware o un software, qualora sia probabile che lo stesso venga utilizzato da titolari del trattamento distinti per svolgere tipologie diverse di trattamento. Appare chiaro, sulla scorta di quanto detto in precedenza, che il titolare del trattamento che utilizza il prodotto tecnologico oggetto della valutazione sulla protezione dei dati, resta soggetto all’obbligo di svolgere la propria in relazione all’attuazione specifica del prodotto stesso. Tuttavia se è già stata operata una valutazione di un prodotto simile, il titolare del trattamento può utilizzare le informazioni fornite da una valutazione analoga posta in essere in via preliminare anche dal fornitore del prodotto. Un esempio in tal senso, come viene esplicato nelle stesse linee guida del Garante Privacy italiano, è rappresentato dal rapporto tra produttori di contatori intelligenti e società fornitrici di servizi pubblici. Ogni fornitore di prodotti o responsabile del trattamento ha l’onere di condividere le informazioni utili senza pregiudicare, i dati sensibili dei soggetti cui si riferisce, né, tantomeno, generare con la diffusione degli stessi rischi per la sicurezza dell’interessato. Le valutazioni di impatto sulla protezione dei dati sono necessarie al fine di tutelare i soggetti che fruiscono di un determinato servizio, sia questo pubblico o privato, che possa presentare dei “rischi” per la privacy degli stessi. orbene, i Titolari del trattamento dei dati personali sono, come visto, obbligati a porre in essere una simile valutazione. invero, la revoca del consenso al trattamento dei dati personali è uno dei motivi per cui vi è la possibilità di fare reclamo al Garante Privacy per l’esercizio di un diritto in tema di privacy e diritto all’oblio.