La conduzione di una valutazione d’impatto sulla protezione dei dati avviene tramite alcuni step individuati dalla norma, liberamente declinabili dal titolare del trattamento per ampiezza e profondità secondo il criterio principe dell’adeguatezza per garantire l’efficace attuazione dei principi del GDPR. L’art. 35.9 GDPR indica proprio uno dei principali punti di raccordo con le tutele sostanziali, ovverosia il coinvolgimento degli interessati: “Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.”.
La raccolta delle opinioni può avvenire in vario modo, tenendo sempre conto del contesto operativo dei trattamenti oggetto di DPIA: l’invio di commenti/critiche tramite form dedicato all’interno di un Kickstarter in via di sviluppo; la presentazione alla rappresentanza sindacale del progetto di un sistema che riguarda il trattamento dei dati personali dei lavoratori; un’interlocuzione con i cittadini per quanto riguarda un sistema di Smart Citizenship. Quanto le Linee guida WP248 raccomandano è ovviamente assicurare una base giuridica valida per il trattamento dei dati relativi alla raccolta di dette opinioni che, il più delle volte, sarà costituita dal legittimo interesse del titolare del trattamento mentre il consenso “non è ovviamente un modo per raccogliere le opinioni degli interessati”.
Dal momento che tale fase non è un elemento accessorio del processo decisionale del titolare del trattamento, è bene ricordare che la scelta di non procedere alla raccolta delle opinioni degli interessati o altrimenti di differirla ad un momento successivo deve essere adeguatamente documentata, alla pari della decisione finale che si discosta da tali opinioni o dal parere del DPO. Le motivazioni a riguardo devono essere non generiche e riferite ad elementi comprovabili e valutati in concreto, quali ad esempio i costi (economico-finanziari, strategici, operativi) sproporzionati o i rischi insostenibili.
Il coinvolgimento successivo degli interessati nella DPIA in cosa consiste? Da un lato può essere una richiesta di feedback differita rispetto alla raccolta di opinioni (e dunque: partecipazione degli stessi), dall’altro in un atto di trasparenza informativa. Sebbene la pubblicazione della valutazione d’impatto non sia richiesta dalla norma, rendere disponibile un estratto della stessa che evidenzi in modo chiaro e sintetico rischi, garanzie e conclusioni è una buona prassi che andrebbe promossa soprattutto in ambito pubblico. Sempre secondo le Linee guida WP248, infatti, tale azione ha lo scopo “di contribuire a stimolare la fiducia nei confronti dei trattamenti effettuati dal titolare del trattamento, nonché di dimostrare la responsabilizzazione e la trasparenza”.
