Il Regolamento generale sulla protezione dei dati (UE) 2016/679 o meglio conosciuto come GDPR, si applica a partire dal 25 maggio 2018. L’art. 35 del regolamento generale sulla protezione dei dati introduce il concetto di valutazione d’impatto sulla protezione dei dati, così come previsto anche dalla direttiva 2016/680.
La valutazione d’impatto sulla protezione dei dati, in acronimo DPIA, è quel processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli.
Le valutazioni d’impatto sulla protezione dei dati sono strumenti di notevole importanza per la responsabilizzazione dei soggetti in tema di privacy e diritti, poiché portano i titolari del trattamento non soltanto al rispetto dei requisiti del GDPR, ma servono anche a dimostrare che sono state utilizzate misure appropriate tali da garantire il rispetto del GDPR. In sostanza, così come riportato dalle linee guida in tema di DPIA del Garante Privacy italiano, una valutazione d’impatto sulla protezione dei dati è un processo inteso a garantire e dimostrare la conformità.
Tuttavia, seppure il regolamento generale sulla protezione dei dati non definisce formalmente il concetto di valutazione d’impatto sulla protezione dei dati come tale, il contenuto di quest’ultima è stabilito dall’art. 35 par. 7 del GDPR e sono:
-una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, laddove possibile, l’interesse legittimo perseguito dal titolare del trattamento;
– una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
– una valutazione dei rischi per i diritti e le libertà degli interessati;
– le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i
meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento sulla protezione dei dati personali, tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Effetti dell’inosservanza delle regole circa la DPIA ai sensi del Regolamento generale sulla protezione die dati personali
Ai sensi del GDPR l’inosservanza dei requisiti ivi stabiliti può portare a sanzioni pecuniarie imposte dall’autorità competente, il Garante Privacy. Ancora, la mancata esecuzione di una valutazione d’impatto sulla protezione dei dati nei casi in cui il trattamento è soggetto alla stessa e l’esecuzione in maniera errata di detta valutazione, oppure la mancata consultazione dell’autorità di controllo laddove richiesto, possono comportare una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di euro oppure, nel caso in cui inadempiente sia un’impresa, è possibile che a questa venga fatta una multa pari a fino al 2% del fatturato annuo globale dell’anno precedente, a seconda di quale dei due importi sia quello superiore.
Campo di applicazione
Le linee guida del Garante Privacy sulla valutazione di impatto sulla protezione dei dati specificano che non è obbligatorio elaborare una valutazione d’impatto sulla protezione dei dati per ciascun trattamento. Invero, è necessario che questa si realizzi laddove il trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35 par 1 GDPR).
Lo scopo delle linee guida sul DPIA, a chi si riferiscono
Lo scopo delle linee guida in esame è sostanzialmente quello di anticipare i futuri lavori del comitato europeo per la protezione dei dati e, conseguentemente, quello di chiarire le pertinenti disposizioni del regolamento generale sulla protezione dei dati in maniera da assistere i titolari del trattamento nel rispettare la legge, nonchè di fornire la certezza del diritto a quei titolari del trattamento che sono tenuti a realizzare una valutazione d’impatto sulla protezione dei dati.
Il GDPR prevede che i Titolari del trattamento realizzino misure adeguate al fine di tutelare la privacy degli interessati, oltre che avere la funzione di dimostrarne il rispetto, tenendo conto tra l’altro dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Cosa si intende con il termine “rischio”
L’obbligo per i Titolari del trattamento di realizzare una valutazione d’impatto sulla protezione dei dati personali va inteso nel senso di obbligo generale, cui gli stessi sono soggetti, di gestire adeguatamente i rischi presentati dal trattamento di dati personali. Quando si parla di rischi è necessario sottolineare, che, come si può ben immaginare, al fine di poter meglio gestire i pericoli per i diritti e le libertà degli utenti, questi devono essere individuati, analizzati, stimati, valutati, trattati ed infine riesaminati. A fronte di tutto quanto appena espresso, i Titolari del trattamento dei dati personali non possono sottrarsi alla loro responsabilità coprendo i rischi e stipulando polizze assicurative.Dunque, il lemma “rischio” viene utilizzato nel senso di uno scenario, apprezzato in termini di gravità e probabilità, che rappresenta un evento e le sue conseguenze. Mentre, la “gestione dei rischi”, viene intesa, secondo le linee guida del Garante privacy sul punto, quale insieme di attività orientate a controllare un’organizzazione in relazione ai rischi. Non vi è da meravigliarsi che vi siano tanti oneri in capo ai Titolari del trattamento dei dati personali, anche perchè la revoca del consenso al trattamento dei dati personali è uno dei motivi per cui è possibile fare reclamo al Garante Privacy per l’esercizio di un diritto in tema di privacy e diritto all’oblio.