Il titolare del trattamento deve continuamente valutare i rischi per i diritti e le libertà degli interessati relativi alle attività di trattamento svolte e, qualora dovesse rinvenire un rischio elevato, è tenuto ad effettuare, prima di procedere al trattamento, la valutazione di impatto sulla protezione dei dati (DPIA nell’acronimo inglese), prevista e disciplinata dall’art. 35 del Regolamento generale sulla protezione dei dati.
In base alla disciplina previgente, nel caso di trattamenti che presentassero rischi per l’interessato, si rendeva necessario presentare un’istanza di verifica preliminare al Garante privacy, cui spettava la valutazione degli aspetti del trattamento e la decisione sulla sua autorizzazione, anche attraverso la prescrizione delle misure ritenute necessarie per attenuare i rischi.
Il Regolamento non ripropone l’obbligo di verifica preliminare al Garante privacy e il D. lgs. 101/2018 ha abrogato, di conseguenza, l’art. 17 del Codice privacy che individuava tale istituto.
Spetta, infatti, adesso direttamente al titolare del trattamento, in base al principio di responsabilizzazione o accountability, esaminare, fin dalla fase di pianificazione e progettazione, i profili legati al trattamento dei dati e, nel caso in cui lo stesso, per la natura, l’oggetto, il contesto o le finalità, presentasse dei rischi elevati, effettuare la valutazione d’impatto sulla protezione dei dati prevista dall’art. 35 del Regolamento, rimanendo il coinvolgimento dell’Autorità limitato alle sole ipotesi in cui, all’esito della valutazione, non si riuscissero a trovare misure sufficienti per ridurre i rischi a un livello accettabile.
Il Regolamento definisce le caratteristiche minime di una valutazione d’impatto sulla protezione dei dati, stabilendo che la stessa debba contenere almeno:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati; e
- le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Per quanto riguarda la concreta realizzazione della valutazione di impatto, il Regolamento offre ai titolari del trattamento la flessibilità di stabilire la struttura e la forma della valutazione in maniera da consentire che la stessa si adatti alle pratiche di lavoro esistenti.
A prescindere però dalla forma, la valutazione di impatto deve contenere gli elementi indicati e in essa devono essere ben evidenziati i rischi rilevati e le conseguenti misure adottate.
Per approfondire il tema si suggerisce la lettura delle Linee guida in materia di valutazione di impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679 (WP 248) del Gruppo di lavoro art. 29.