Art. 35 GDPR — Valutazione d’impatto sulla protezione dei dati

Commento

La DPIA come strumento di accountability

L'art. 35 GDPR introduce la Data Protection Impact Assessment (DPIA), strumento di valutazione preventiva del rischio per i diritti e le libertà degli interessati. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'ambito di applicazione, il contesto e le finalità, possa presentare un rischio elevato, il titolare effettua, prima di procedere al trattamento, una valutazione dell'impatto. La DPIA è chiave dell'accountability proattiva (art. 5, par. 2) e del privacy by design (art. 25).

Quando è obbligatoria (par. 3)

Il par. 3 elenca tre ipotesi tassative in cui la DPIA è obbligatoria: (a) valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su trattamento automatizzato, compresa la profilazione, e su cui si fondano decisioni che producono effetti giuridici (art. 22); (b) trattamento su larga scala di categorie particolari di dati ex art. 9 o di dati relativi a condanne penali ex art. 10; (c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Le linee guida EDPB 4/2017 hanno aggiunto criteri (innovazione tecnologica, vulnerabilità degli interessati, impedimento all'esercizio di diritti).

Contenuto minimo della DPIA (par. 7)

Il par. 7 fissa il contenuto minimo: (a) descrizione sistematica dei trattamenti previsti e delle finalità, compreso, ove applicabile, l'interesse legittimo; (b) valutazione della necessità e proporzionalità in relazione alle finalità; (c) valutazione dei rischi per i diritti e le libertà; (d) misure previste per affrontare i rischi, comprese garanzie, misure di sicurezza e meccanismi per garantire la protezione dei dati personali e dimostrare la conformità. La DPIA è documento strutturato, datato, firmato, versionato.

Lista dei trattamenti del Garante (par. 4)

Il par. 4 prevede che l'Autorità di controllo rediga e pubblichi un elenco delle tipologie di trattamento soggetti al requisito di DPIA. Il Garante italiano ha pubblicato l'elenco con provvedimento 11/10/2018: include valutazioni di credito, monitoraggio sistematico, trattamenti su larga scala di categorie particolari, biometria, profilazione di minori, smart cities, IoT con effetti significativi. L'EDPB ha pubblicato lista comune. La consultazione delle liste è primo passo della governance DPIA.

Consultazione del DPO (par. 2)

Il par. 2 prevede che il titolare consulti il DPO ove designato (art. 37) quando effettua una DPIA. La consultazione del DPO è strutturale: il DPO valuta la metodologia, partecipa all'analisi, fornisce pareri scritti, supervisiona l'attuazione delle misure di mitigazione. La consultazione documenta l'integrazione della governance privacy nel ciclo del progetto. Il DPO si esprime anche sui criteri di rischio elevato e sull'eventuale necessità di consultazione preventiva con il Garante (art. 36).

Revisione e aggiornamento (par. 11)

Il par. 11 prevede che il titolare procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla DPIA almeno quando il rischio presentato dalle attività di trattamento risulti modificato. La DPIA è documento vivo: nuove tecnologie, nuove finalità, nuovi destinatari, nuove minacce impongono revisione. La governance prevede revisioni periodiche (annuali) e triggered (su modifiche significative). La DPIA è anche strumento di audit interno e di reporting al board.

Regola pratica e checklist operativa

Compliance art. 35: (i) integrazione nel SDLC dei nuovi progetti; (ii) template di DPIA strutturato; (iii) tassonomia dei rischi; (iv) consultazione del DPO documentata; (v) misure di mitigazione tracciate; (vi) revisione periodica e su trigger; (vii) per rischio residuo elevato, consultazione preventiva del Garante (art. 36); (viii) board approval delle mitigazioni.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.