Quando un trattamento può causare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a realizzare una valutazione di impatto prima di darvi inizio, consultando l’autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per moderare l’impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio rimanente per i diritti e le libertà degli interessati resti elevato.
Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi eseguiti. I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.
Le linee-guida del WP29 offrono alcuni precisazioni sul punto; in particolare, precisano quando una valutazione di impatto sia dovuta (oltre ai casi espressamente indicati dal regolamento all’art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un obbedienza una tantum.
Le linee-guida precisano, peraltro, anche quando una valutazione di impatto non sia richiesta: ciò vale, in particolare, per i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e non mostrino modifiche significative prima del 25 maggio 2018, data di piena applicazione del regolamento.
Il messaggio finale delle linee-guida (già sottoposte a consultazione pubblica) è che la valutazione di impatto compone una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a scansare incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l’altro indispensabile principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.
Commenti