Tra i principali obiettivi del Regolamento Europeo sulla Privacy, vi è infatti la dimostrabilità delle operazioni di trattamento effettuate dalle aziende (quella che, in inglese, viene chiamata “accountability”), ad indicare l’obbligo che i titolari d’impresa hanno di conoscere tutte le operazioni compiute e di analizzare e definire i flussi normativi, i soggetti coinvolti e le regole per una corretta gestione e conservazione dei dati sensibili.
I titolari d’azienda, dunque, devono predisporre misure preventive volte ad evitare la perdita di dati o la fuga di informazioni, non solo per tutelare i soggetti coinvolti, ma anche per evitare di incorrere in pesanti sanzioni.
La Valutazione di impatto sulla protezione dei dati (o PIA, dall’inglese “Privacy Impact Assessment”) è il principale strumento per conoscere a fondo i processi di trattamento dei dati: in base a quanto stabilito dal Regolamento Europeo sulla Privacy, il titolare d’azienda è tenuto ad effettuare una preliminare valutazione di impatto privacy, precedentemente al trattamento dei dati.
Cosa deve contenere la valutazione?
Quantomeno, una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento (compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento), una valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare tali rischi, inclusi le garanzie, le misure di sicurezza e i meccanismi adottati per garantire la protezione dei dati personali e dimostrare la conformità al nuovo Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Al di là della sua obbligatorietà, la valutazione dei rischi ha peraltro tutta una serie di benefici per l’azienda e per il titolare: l’impostazione e lo sviluppo di una valutazione di impatto sulla protezione dei dati, permette di identificare e gestire i rischi che il trattamento può comportare, di prevenire la possibilità che alcuni problemi (anche gravi), vengano poi scoperti in una fase avanzata del trattamento, di introdurre anticipatamente appropriate misure di controllo e di rafforzare il livello di affidabilità legato all’immagine stessa dell’azienda.
Ora, la Circolare emanata dal Ministero della Giustizia entra nel dettaglio, e spiega come – dal punto di vista pratico -, la valutazione di impatto sulla protezione dei dati debba essere effettuata.
Si tratta, dunque, di un’applicazione piena e concreta del principio di accountability, e spiega come il Responsabile della Protezione dei Dati (in inglese, il Data Protection Officer, abbreviato in DPO) e, quindi, il soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR, debba far presente a tutte le articolazioni ministeriali le caratteristiche della valutazione di impatto sulla protezione dei dati e quando questa vada condotta.
La Circolare, inoltre, chiarisce il ruolo del Responsabile della Protezione dei Dati nel compimento di tale adempimento, andando ad individuare due diversi casi: il titolare è incerto circa la necessità della Valutazione (che in inglese viene chiamata “data protection impact assesment”, DPIA) e dunque chiede il consulto del DPO; il titolare è già convinto che la Valutazione sia necessaria e richiede il parere previsto dagli articoli 35 – 39 del GDPR.
Per la verità, in quest’ultimo caso, il DPO non deve sottoporsi al giudizio del titolare e può anzi stabilire che, nello specifico caso, non sia necessaria la DPIA (o che lo sia ma per motivazioni diverse da quelle individuate dal titolare).
Infine, la Circolare è utile anche dal punto di vista pratico: fornisce, infatti, la modulistica con riferimento alla richiesta di parere al DPO, ma anche con riferimento all’effettiva formalizzazione della valutazione di impatto sulla protezione dei dati, con indicazione delle diverse fasi che la contraddistinguono.
Ma quando la Valutazione di impatto sulla protezione dei dati è necessaria ?
Per capirlo, bisogna leggere l’articolo 35 del GDPR, che stabilisce la sua obbligatorietà nei seguenti casi:
una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.