Chi lascia la strada vecchia per la nuova, sa cosa perde ma non sa cosa trova!
Nonostante le Linee guida sul data protection impact assessment (DPIA) recentemente adottate dall’Art. 29 Working Party, ancora non ci sono certezze sui trattamenti che, in quanto potenzialmente tali da esporre i diritti e le libertà delle persone fisiche a un rischio elevato, comporteranno la necessità di una valutazione d’impatto.
Il GDPR lancia il sasso e nasconde la mano: impone di eseguire una valutazione d’impatto, ma delega ai Garanti nazionali il compito di stilare (i) sia un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, (ii) sia un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati.
Nel silenzio del Garante italiano (e, considerato il tono delle Linee guida, di molte altre Autorità nazionali), l’Art. 29 Working Party è intervenuto per fornire alcuni criteri utili ai titolari più diligenti che hanno già iniziato, o vogliono iniziare a breve, il processo di adeguamento al GDPR.
L’approccio è letteralmente matematico. Data una lista di nove criteri (per la cui descrizione si rinvia al testo – pp. 9-11 – delle Linee guida disponibile qui, sezione “Adopted Guidelines”):
- se ne vengono riscontrati almeno due, allora la bilancia pende a favore del “Sì, mi serve un DPIA”;
- se ne risulta soltanto uno, la decisione è rimessa alla discrezionalità o, per meglio dire, responsabilità (accountability) del titolare del trattamento;
- se non ne ricorre neppure uno, ci sono buone probabilità che non sia necessaria alcuna valutazione d’impatto, anche se ogni occasione – questa compresa – è buona per ribadire, e ripetere, che l’adozione del DPIA (al pari della nomina del responsabile della protezione dei dati o DPO) contribuisce a dimostrare l’accountability del titolare del trattamento e, in ultima analisi, il suo positivo attivarsi per l’esatta implementazione del GDPR.
Basta uno sguardo ai nove criteri elencati dall’Art. 29 Working Party per rendersi conto che, di fatto, sarà difficile che un titolare del trattamento non debba dotarsi di almeno un DPIA: almeno uno, sì, perché viene ritenuto in generale preferibile predisporre un separato DPIA per ciascun trattamento che ne presenta la necessità.
Il DPIA che difficilmente sarà evitabile riguarda, ed era prevedibile data la delicatezza della materia, il trattamento dei dati personali dei lavoratori. Questo trattamento: sicuramente comporterà la raccolta di categorie particolari di dati personali (i “vecchi” dati sensibili), e la raccolta di tali dati è uno dei nove criteri dell’Art. 29 Working Party; molto probabilmente si svolgerà su larga scala, e il trattamento di dati su larga scala è un altro di questi nove criteri.
Ma quando devono essere fatte le valutazioni d’impatto? Naturalmente, «prima di procedere al trattamento» (art. 35, comma 1 GDPR).
Il fatto che, nei DPIA, debbano essere coinvolti non solo il titolare e il responsabile del trattamento, ma anche – e in particolare – il DPO, se nominato, e i soggetti interessati, se appropriato, rende problematico rispettare il limite temporale fissato. Considerato che nella nozione di «trattamento» sono comprese tutte le attività che vanno dalla raccolta alla cancellazione/distruzione dei dati personali, potrebbe essere difficile individuare gli «interessati» (cioè, le persone fisiche identificate o identificabili cui si riferiscono i dati personali; v. art. 4, comma 1, punto 1 del GDPR) da interpellare prima che il trattamento dei loro dati personali abbia effettivamente inizio. La stessa necessità della nomina di un DPO potrebbe derivare da una valutazione d’impatto, in quanto misura idonea a ridurre i rischi per gli interessati: in questo caso, evidentemente il DPO non potrebbe essere coinvolto nella predisposizione della valutazione d’impatto stessa.
Senza contare che necessariamente molti saranno i trattamenti già in corso alla data in cui sarà eseguita la valutazione di impatto eventualmente necessaria.
In questo contesto, obiettivamente incerto, sembra legittimo chiedersi se sia concretamente possibile riuscire ad adeguarsi al GDPR entro la scadenza del 25 maggio 2018. Ma è un’altra la vera domanda che, anche se timidamente, comincia ad affiorare: la semplificazione, quell’esigenza che ha determinato l’adozione del GDPR, dov’è?
L’Italia, nel suo piccolo, forse un piccolo passo in questa direzione lo aveva già fatto nel 2012, con l’abrogazione dell’obbligo della tenuta del documento programmatico sulla sicurezza o DPS: una decisione che aveva sicuramente ridotto gli adempimenti documentali a carico dei titolari del trattamento.
Il GDPR ha di fatto reintrodotto il DPS, sdoppiandolo nel registro dei trattamenti e nelle valutazioni d’impatto. Peraltro: se prima la struttura del DPS era chiara e definita nell’Allegato B del Codice Privacy, per i DPIA ci sono allo stato indicazioni generali che solo apparentemente lasciano più libertà ai titolari del trattamento, perché in ultima analisi rendono più probabile l’errore e, quindi, la sanzione.
