Per quanto si possa dire della modalità di conduzione della valutazione d’impatto, dunque del coinvolgimento degli interessati, nelle organizzazioni che vogliono essere conformi al GDPR c’è sempre il dubbio circa la pubblicazione di una sintesi o degli esiti della stessa. Come ricorda l’EDPB (WP 248), sebbene non sussista alcun obbligo derivante dal GDPR, “pubblicarne una sintesi potrebbe favorire la fiducia” che è un elemento fondamentale per la relazione con l’interessato, al fine di riequilibrare – quanto meno relativamente all’aspetto della trasparenza informativa – il rapporto con gli interessati consentendo agli stessi un maggiore grado di coinvolgimento e partecipazione effettiva.
Soprattutto nel caso di attività di trattamento fondate sul legittimo interesse o su motivi di interesse pubblico rilevante, la garanzia del diritto di opposizione non può che transitare per la corretta comprensione della portata di tale diritto da parte dell’interessato. Nel caso contrario, ci si troverebbe in una sorte di accettazione passiva indotta da parte del titolare del trattamento, che al contrario invece ha l’obbligo di garantire e dimostrare in ogni momento del trattamento che i propri interessi legittimi cogenti – siano essi riconducibili o meno all’esercizio di pubblici poteri o compiti di interesse pubblico rilevante – abbiano un carattere prevalente nei confronti degli interessi, dei diritti o altrimenti delle libertà fondamentali del soggetto i cui dati sono oggetto dell’attività di trattamento (considerando n. 69 GDPR).
A conferma di ciò, le linee guida del WP 248 menzionano come “prassi particolarmente buona” la pubblicazione nel caso in cui un’autorità pubblica realizza una valutazione d’impatto sulla protezione dei dati.
Tenuto conto di ciò, è evidente che a maggior ragione qualora si ricorra a talune basi giuridiche occorre che vi sia una più profonda considerazione e decisione circa l’opportunità di pubblicazione della valutazione d’impatto, se non in virtù di un obbligo diretto quanto meno per garantire il rispetto e la garanzia di esercizio del diritto di cui all’art. 21 GDPR.
Quanto si debba pubblicare della valutazione d’impatto è argomento che va necessariamente declinato tenendo conto del contesto, dello scopo di dimostrare responsabilizzazione e trasparenza, nonché dell’esigenza di non esporre a rischi l’organizzazione del titolare del trattamento (soprattutto in relazione ai profili di sicurezza delle informazioni) e di conseguenza gli interessati. Coniugando tali esigenze solo apparentemente contrapposte, l’estratto da rendere fruibile agli interessati non dovrà contenere dettagli tecnici specifici ma piuttosto essere in grado di ricostruire e comunicare – nelle modalità trasparenti rievocate dall’art. 12 GDPR – tutto il processo decisionale che fa seguito alla valutazione d’impatto condotta e che dà applicazione in concreto agli esiti della stessa.
