Le linee guida del Garante per le valutazioni di impatto

Le linee guida del Garante per le valutazioni di impatto

Tra le principali novità introdotte dal General Data Protection Regulation (GDPR) c’è senza dubbio la valutazione di impatto sulla protezione dei dati personali rispetto alle attività di trattamento svolte.

Come ogni novità che si rispetti, anche questo cambiamento specifico del regolamento sul trattamento dei dati personali ha diviso l’opinione pubblica.

Dall’avvento del GDPR, i titolari del trattamento devono obbligatoriamente effettuare una valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment)  prima di procedere con il trattamento se questo presenta rischi elevati per quanto riguarda i diritti e le libertà dei diretti interessati.

La storia e l’evoluzione della valutazione di impatto

Inizialmente questo strumento veniva utilizzato solamente in Australia e Nuova Zelanda.

La valutazione di impatto è nata sotto il principio dell’accountability del titolare, che viene responsabilizzato in tema di conseguenze sugli interessati dei trattamenti che intende eseguire.

Il DPIA è stato introdotto soprattutto per legiferare sui trattamenti dall’aspetto innovativo, con l’obiettivo di adeguare gli obblighi ai rischi connessi.

Tutto questo partendo dal presupposto che maggiore è la tecnologia, più spinta è la novità, maggiori sono i dubbi che creano incertezza e che aprono spiragli ai rischi.

Se la tecnologia corre, può il regolamento restare fermo, impassibile, spettatore non pagante della fuga dell’innovazione tecnologia che crea scenari nuovi, dinamiche e contesti inesplorati con conseguenti e correlati nuovi rischi?

La risposta sempre scontata, ma spesso non assecondata da fatti, in questo caso mette d’accordo teoria e pratica: il regolamento 1725 del 2018 ha esteso l’obbligo di procedere alla DPIA a istituzioni, organi e organismi dell’Unione Europea.

Il rapporto del Garante Europeo sul DPIA

Dopo aver condotto un’inchiesta sulle valutazioni di impatto sulla protezione dei dati effettuate degli organismi e delle istituzioni europee, il Garante Europeo della protezione dei dati (EDPS, European Data Protection Supervisor) ha pubblicato un report.

In tutta onestà, il rapporto voleva prendere le istituzioni europee e gli organismi come modello da seguire, individuando nella loro descrizione le best practice da seguire.

Lo scopo è stato raggiunto, ma attraverso altri mezzi visto che nessuna istituzione europea ha effettuato più di due DPIA.

Ad ogni modo, il Garante Europeo ha individuato delle linee guida da seguire per migliorare l’utilizzo della valutazione di impatto sia nel settore pubblico, che in quello privato.

Scarso utilizzo di consulenti esterni

Uno dei dati più interessanti e sorprendenti emersi dall’analisi è il numero esiguo di istituzioni che si avvalgono di consulenti esterni per effettuare la valutazione di impatto del trattamento dei dati.

La maggioranza delle istituzioni si affida al proprio Responsabile della Protezione dei Dati(DPO, Data Protection Officer).

Non ci sono indicazioni che spingono verso l’una o l’altra direzione: uno dei consigli da tenere in considerazione è la scelta del DPO, interno o esterno che sia, in base alle competenze tecniche e alle specifiche esigenze.

Lunghezza e tempistiche delle valutazioni di impatto

La lunghezza media della DPIA delle istituzioni europee è di circa 16 pagine.

Un documento non eccessivamente lungo, ma che comunque richiede molto tempo per la stesura.

Questo aspetto dovrebbe spingere il titolare a riflettere sin da subito sulle possibili conseguenze in termini di privacy del trattamento.

Le cose si complicano quando vengono coinvolti fornitori di servizi esterni nel ruolo di responsabili nelle attività di trattamento.

Il Garante invita sempre a completare il DPIA, magari coinvolgendo questi soggetti nella valutazione di impatto del trattamento dei dati personali, prima di firmare i contratti.

L’utilità del DPIA va condivisa a tutti i livelli

Spesso esistono diverse anime all’interno delle organizzazioni.

Per mancanza di cultura aziendale e propensione all’innovazione nelle realtà meno strutturate, per gerarchie poco meritocratiche o poco chiare nelle realtà aziendali più grandi e strutturate.

Anche e soprattutto per questi motivo il rapporto del Garante rivela quanto sia difficile convincere tutti i livelli dell’organizzazione dell’utilità della valutazione di impatto sul trattamento dei dati personali affinché non venga interpretata come un mero obbligo di legge a cui sottostare.

La necessaria pubblicazione finale della valutazione

E’ probabilmente la conseguenza del punto precedente: la mancata condivisione di idee, obiettivi e mezzi, porta alla mancata pubblicazione delle DPIA delle (poche) istituzioni europee che effettuano la valutazione.

Non c’è nessun omissione, ne tantomeno alcuna violazione, visto che il DPIA è raccomandato ma non obbligatorio.

E’ forse questo l’aspetto più sorprendente: notare come anche le istituzioni europee, che potrebbero e forse dovrebbero fare da apripista, non rappresentino esempi virtuosi da seguire.

DPIA: quale scenario ci attende

Da queste evidenze messe in luce dal report del Garante, emerge anche la volontà da parte delle istituzioni europee di ricevere nuove linee guida in ambito di valutazione di impatto sul trattamento dei dati.

Il Garante probabilmente non si lascerà sfuggire quest’occasione e magari partirà proprio da questo report per approfondire, ottimizzare e aggiungere nuove linee guida in materia DPIA non solo alle istituzioni europee, ma anche agli operatori del settore privato.

Iscriviti alla Newsletter di UTOPIA.

Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.

Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...
 SCOPRI TUTTE LE NEWS SUL GDPR

Leggi il nostro blog

Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.

Grazie per esserti iscritto alla nostra newsletter.
Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.