Le problematiche legate alla Data Protection Impact Assestment (DPIA), che si è da subito dimostrato un adempimento complesso, hanno principalmente riguardato l’individuazione dei trattamenti da sottoporre alla stessa.
La risposta al quesito del “quando” procedere alla valutazione d’impatto ha gettato dubbi sui titolari, che seppur con la collaborazione dei DPO, si sono ritrovati con la responsabilità della redazione della DPIA. In questo contesto di incertezze si sono resi necessari degli interventi chiarificatori sia a livello europeo che a livello nazionale.
Il primo riferimento va infatti alle linee guida licenziate dall’ex WP29 ad aprile 2017, contenenti nove coordinate specifiche per individuare le categorie dei trattamenti da sottoporre alla valutazione d’impatto, così come prescritta dall’art.35 del GDPR.
Si sono successivamente aggiunte, dopo essere state condivise con l’EDPB, anche le indicazioni del Garante italiano, contenute nell’Allegato al provvedimento numero 467 del 2018.
Entrambi i documenti hanno come scopo quello di specificare e puntualizzare quanto contenuto nel regolamento europeo, indicando sia quando effettuare la DPIA sia quando quest’ultima non è invece necessaria.
Va ricordato che gli interventi di cui sopra, pur di sicuro valore esplicativo, non sono esaustivi e, pertanto, non racchiudono al loro interno tutte le tipologie di trattamento rispetto alle quali andrebbe effettuata la valutazione d’impatto.
Indice degli argomenti
La zona grigia della DPIA
L’incompletezza delle liste dei trattamenti, sopra indicate, genera per forza di cose una “zona grigia”. Spieghiamo meglio.
Nonostante la lettura combinata del GDPR e degli specifici criteri utilizzati per individuare i trattamenti da sottoporre a DPIA, ben può accadere che alcuni trattamenti non vengano intercettati. Come gestire questa situazione? Se un trattamento presentasse un alto livello di rischio ma non fosse al contempo individuabile tramite le linee guida? Come si potrebbe evitare questo “vuoto”?
Una delle soluzioni possibili potrebbe ravvisarsi nella redazione di un’analisi sistematica del rischio circa tutti i trattamenti individuati nelle proprie attività. Questa analisi potrebbe trovare collocazione all’interno del registro dei trattamenti, trasformando quest’ultimo in una versione decisamente più “smart”.
Accanto alla descrizione del trattamento si avrebbe anche la definizione delle modalità con cui questo si svolge, con particolare attenzione alla qualità dei software e dei processi utilizzati.
Potrebbe essere di aiuto, per avere una panoramica complessiva della data protection attuata nella propria organizzazione, attribuire una valutazione proprio alla “qualità” degli strumenti. Non si nasconde che, tale opzione, soprattutto se da applicare all’interno di grandi organizzazione molto diversificate, sia impegnativa e nient’affatto banale. Fatta eccezione per i casi in cui si abbia disposizione, ai fini dell’attuazione di questa impostazione, software che rendano agevoli questi passaggi.
La contraddizione
Nonostante l’impegno che la soluzione sopra proposta richiede, questa potrebbe permettere di ovviare alla problematica dell’individuazione dei trattamenti ad alto rischio non indicati nelle linee guida.
Ricordiamo che rispettare la normativa GDPR significa sottoporre a valutazione d’impatto tutti i trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche. Non a caso l’art.35 del GDPR richiede che l’analisi di cui in oggetto venga svolta prima di effettuare un trattamento.
Sorge spontaneo domandarsi allora da dove si debba ricavare il presupposto della DPIA, ovvero il rischio elevato. Sottolineiamo che la stessa DPIA viene da molti considerata “l’analisi del rischio”. Sembra qui emergere una contraddizione, in quanto il presupposto di un dispositivo non può essere al contempo il dispositivo stesso.
Se si guarda al contenuto della DPIA, si può notare come al suo interno vengano esaminati diversi aspetti del trattamento, tali da renderla “più” di una semplice analisi del rischio. Tra gli aspetti analizzati troviamo anche i concetti di “necessità” e “proporzionalità”, la cui descrizione comporta un’importante riflessione da parte del compilatore.
Dal punto di vista di un’organizzazione, esplicare questi concetti significa contrappore e bilanciare le proprie motivazioni, e modalità di svolgimento, con i diritti degli interessati. La legittimità, la diamo come antefatto accertato. Trovano spazio all’interno della DPIA anche la descrizione della gestione dei diritti degli interessati e la descrizione delle misure “tecniche ed organizzative” di mitigazione dell’eventuale rischio residuale.
A fronte di ciò potremmo ritenere che la DPIA sia l’analisi approfondita di un trattamento, attraverso la disamina dei concetti sopra indicati, rispetto al quale sia emerso un alto livello di rischio. Siamo dunque in una fase successiva all’individuazione del trattamento “rischioso”.
Fuori dai criteri specifici che indicano le tipologie di trattamento da sottoporre a DPIA, questi ultimi possono essere intercettate solo tramite un’analisi ex ante che evidenzia il “rischio potenziale”. La DPIA in questo caso trova spazio in una seconda fase, quando si analizza il trattamento anche sotto i tre punti di vista (necessità e proporzionalità, diritti degli interessati, misure).
Ritorna quindi l’opzione dell’analisi sistematica del rischio inglobata nel registro dei trattamenti, in modo da porre fine alla visione separata dei due ma anzi proponendo una lettura combinata degli stessi.
In conclusione
Il ragionamento sopra esposto può ben trovare opposizione in chi vede la DPIA come l’analisi del rischio e non considera due punti: le linee guida non possono intercettare tutti i trattamenti, in quanto hanno carattere orientativo; anche i trattamenti non intercettati possono presentare un elevato livello di rischio.
Al fine di evitare che questi ultimi rimangano celati all’interno del registro dei trattamenti si propone di inglobarvi un’analisi sistematica del rischio. Ovviamente chi considera la DPIA l’analisi del rischio, e non un approfondimento del trattamento sotto altri ed ulteriori aspetti, considererà tale opzione solo un onere.
Tuttavia, la lettura combinata di questi strumenti, quali il registro e la DPIA, meglio permette di rispettare il dettato comunitario nonché facilita la traccia delle modifiche introdotte per ridurre il rischio, avendo una visione ex ante ed ex post dello stesso trattamento.
