Quando si affronta l’argomento della valutazione d’impatto sulla protezione dei dati, nonostante i molteplici chiarimenti offerti da parte dei provvedimenti del Garante Privacy o dalle Linee guida dell’EDPB (Linee guida WP248), c’è tutt’ora una confusione diffusa che ha portato alla nascita di alcuni errori fondamentali sul corretto svolgimento di tale adempimento. Alla pari di come si è tentato di fare sul tema della gestione data breach, è dunque opportuno smentire alcuni pericolosi miti che compiono veri e propri salti (rectius: capitomboli) logici sull’applicazione dell’art. 35 GDPR. Il rischio, altrimenti, è di incorrere nella sanzione pecuniaria di cui all’art. 83.4 lett. a) GDPR (fino a 10 milioni di euro o 2% del fatturato mondiale annuo totale), nonché in un provvedimento di limitazione provvisoria o definitiva dei trattamenti previsto dall’art. 58.2 lett. f) GDPR.
La DPIA deve essere svolta esclusivamente dal titolare del trattamento. FALSO.
La valutazione d’impatto sulla protezione dei dati può essere svolta da un soggetto interno o esterno dell’organizzazione, ma rappresenta un processo decisionale che riguarda una responsabilità del titolare del trattamento, il quale è chiamato – in un più ampio adempimento degli obblighi di accountability – a dover dimostrare di aver adottato misure tecniche e organizzative per garantire il rispetto dell’art. 35 GDPR.
La DPIA deve essere svolta dal DPO. FALSO.
L’art. 35.2 GDPR prevede che “Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.”, mentre l’art. 39.1 lett. c) GDPR indica fra i compiti del DPO quello di “fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;”. Di conseguenza, se devono essere garantite autonomia e indipendenza, non è possibile che il DPO svolga la valutazione d’impatto. Piuttosto, come confermato dalle Linee guida WP243, questi potrà fornire la propria consulenza circa: l’opportunità o altrimenti l’obbligo di conduzione di una valutazione d’impatto (per un trattamento o un insieme di trattamenti); la possibilità di fare ricorso a delle risorse interne o esterne per lo svolgimento della stessa; le salvaguardie da applicare per attenuare i rischi; lo svolgimento della valutazione e la conformità al GDPR delle conclusioni.
La DPIA è un’analisi della sicurezza dei trattamenti. FALSO.
Per quanto l’aspetto della sicurezza dei trattamenti componga un passaggio fondamentale della valutazione d’impatto, questo segue (per logica) l’individuazione della sussistenza di una valida base giuridica e un’analisi della necessità e proporzionalità dei trattamenti considerati. Come strumento per gestire i rischi per i diritti e le libertà degli interessati, deve sempre essere infatti deputato all’obiettivo di assicurare la protezione dei dati personali e dimostrando la conformità al presente regolamento, e dunque non può esaurirsi con un’analisi di sicurezza (che rimane necessaria ma non sufficiente).
La DPIA è un adempimento che riguarda esclusivamente la fase preliminare di un’attività di trattamento. FALSO.
La realizzazione di una valutazione d’impatto è rappresenta l’esito di un processo continuo, da inserire già all’interno della progettazione delle attività di trattamento ma che deve essere aggiornato e seguire l’evoluzione dei trattamenti, dei rischi e degli obblighi che riguardano il titolare del trattamento. L’art. 35.11 GDPR prevede esplicitamente: “Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.”.
La DPIA può essere richiesta ad un responsabile del trattamento. FALSO.
Il responsabile del trattamento, qualora sia parte dell’esecuzione di un’attività suscettibile di valutazione d’impatto sulla protezione dei dati, ha il dovere di assistere il titolare nell’esecuzione della stessa fornendo tutte le informazioni necessarie (art. 28.3 lett. f) GDPR). Qualora ad esempio sia il soggetto che si interfaccia con gli interessati, potrà essere delegato a raccoglierne le opinioni, ma la valutazione delle stesse e le decisioni sono comunque adottate da parte del titolare del trattamento.
