La valutazione di impatto sulla protezione dei dati (Data protection impact assesment, ovvero Dpia) è un particolare strumento, previsto dal Gdpr, atto a valutare i rischi coinvolti in un processo decisionale automatizzato. Si tratta di un procedimento che consente al Titolare e al Responsabile del trattamento di adottare tutte le misure necessarie e adeguate ad affrontare i rischi legati alla protezione dei dati, permettendo di dimostrare la conformità al Gdpr. Ai sensi dell’art.35 par.1 la Dpia è obbligatoria solamente nel caso in cui il trattamento possa “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”; il par.3 del suddetto articolo fornisce alcuni esempi nei quali un trattamento possa presentare dei rischi elevati. Si legge infatti: “La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b. il trattamento, su larga scala, di particolari categorie di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;o
c. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. La valutazione di impatto sulla protezione dei dati va effettuata prima dell’inizio del trattamento, nella sua fase di progettazione, anche nel caso in cui alcune delle operazioni di trattamento non siano ancora note. Si tratta, inoltre, di un processo continuo, come esplicitato dall’art.35 par.11: “Il Titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione di impatto sulla protezione dei dati, almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento”. Una Dpia risulta estremamente utile per l’identificazione delle misure che dovranno essere introdotte per affrontare i rischi di protezione dei dati coinvolti nel trattamento. Tra le misure comprese possono esservi: » informare sull’esistenza di dati relativi alle persone e sulla logica coinvolta nel processo decisionale automatizzato;
» spiegare il significato e le conseguenze previste dal trattamento per l’interessato;
» fornire ai soggetti interessati i mezzi per opporsi alla decisione;
» consentire agli interessati di esprimere il proprio punto di vista. Le caratteristiche minime che una Dpia deve contenere sono elencate nell’art.35 par.7 e nei considerando 84 e 90 del Gdpr, che indicano:
» una descrizione dei trattamenti previsti e delle finalità del trattamento;
» una valutazione della necessità e proporzionalità dei trattamenti;
» una valutazione dei rischi per i diritti e le libertà degli interessati;
» le misure previste per affrontare i rischi;
» dimostrare la conformità allo stesso regolamento.
Nell’ipotesi in cui il Titolare non sia in grado di trovare delle misure che riescano a ridurre i rischi a un livello accettabile, si rende necessario consultare il Garante della Privacy. Tale consulto è necessario anche nel caso in cui sia stabilito dal diritto dello Stato membro, oppure per un compito di interesse pubblico (come il trattamento con riguardo alla protezione sociale e alla sanità pubblica). Il Garante della Privacy, nel caso in cui ritenga che il trattamento violi la normativa prevista dal Gdpr, fornisce un parere scritto al Titolare e al Responsabile del trattamento, avvalendosi dei poteri previsti dall’art.58 Gdpr. In conclusione, la Dpia rappresenta uno degli strumenti più importanti previsti dal Gdpr, in quanto esprime appieno il concetto di ‘accountability’, ovvero ‘responsabilizzazione’, dei Titolari e dei Responsabili in merito ai trattamenti da loro effettuati. Tali soggetti, infatti, non devono solamente garantire l’osservanza del Regolamento in relazione ai trattamenti da loro effettuati, ma anche dimostrare il modo in cui ne garantiscono l’osservanza.