La DPIA, non definita formalmente nella GDPR (General Data Protection Regulation), consiste in una procedura finalizzata a descrivere il trattamento dei dati personali, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi legati allo stesso. Rappresenta un importante strumento in termini di responsabilizzazione (c.d. principio di Accountability) poiché consente al Titolare sia di rispettare le prescrizioni in materia di protezione dei dati personali, che di dimostrare l’adozione di misure adeguate a garantire la conformità con le norme. Dati i suoi contorni incerti, lo scorso 4 ottobre il WP 29 ha modificato le già adottate linee-guida (WP 248) in materia di DPIA con il preciso intento di chiarire il concetto stesso di Valutazione di impatto sulla protezione dei dati al fine di fornire una interpretazione coerente dei casi di obbligatorietà della stessa. La DPIA, infatti, ai sensi dell’art. 35, par. 1, è dovuta solo se il trattamento “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Il vincolo di predisporre una DPIA si inserisce in quello, più generale, di gestire adeguatamente i rischi correlati al Trattamento d’accordo con l’art. 24, par. 1, della GDPR per cui devono mettersi in atto misure idonee a garantire e dimostrare la compliance al regolamento stesso, tenendo in considerazione i “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”.

Tuttavia, nei casi di non obbligatorietà della DPIA, l’onere di mettere in atto misure al fine di gestire adeguatamente il rischio derivante dal trattamento, non risulta ridotto.

Oggetto della valutazione d’impatto sulla protezione dei dati può essere un unico trattamento o “un insieme di trattamenti simili che presentano rischi elevati analoghi”. È comunque possibile procedere ad un’unica DPIA per valutare trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi. Nel caso, ad esempio, di trattamenti analoghi svolti da titolari diversi è opportuna la condivisione di una DPIA da utilizzare come riferimento.

Qualora l’obbligatorietà non emerga con chiarezza, il WP29 considera auspicabile fare comunque ricorso a questo strumento quale coadiuvante alla compliance. Allo scopo di avere indicazioni più consistenti rispetto ai trattamenti che richiedono una DPIA, le linee-guida individuano 9 criteri. In linea generale, quando un trattamento soddisfa due dei suddetti, è necessario condurre una DPIA. È inoltre necessario realizzarla per i trattamenti già in corso che possano presentare un rischio elevato e per i quali siano intervenute variazioni dei rischi.

Quando una DPIA non è necessaria? I 5 casi

1. Il trattamento non “può comportare un rischio elevato per i diritti e le libertà di persone fisiche”.
2. La natura, l’ambito, il contesto e le finalità del trattamento sono molto simili a quelli del trattamento per cui è già stata condotta una DPIA.
3. Il trattamento è stato sottoposto a verifica da parte di una autorità di controllo prima del maggio 2018 in condizioni specifiche che non hanno subito modifiche.
4. Il trattamento trova la propria base legale nel diritto dell’UE o di uno Stato membro ed è già stata condotta una DPIA all’atto della definizione della base giuridica suddetta.
5. Il trattamento è compreso nell’elenco facoltativo dei trattamenti redatto dall’autorità di controllo.

La DPIA deve essere redatta prima di procedere al trattamento e deve considerarsi un processo continuativo. Deve essere condotta dal Titolare con l’ausilio del DPO, se designato, insieme ai responsabili del trattamento. Possono essere applicate metodologie diverse a patto che vengono inclusi alcuni elementi di base:

• una descrizione dei trattamenti previsti e delle finalità del trattamento;
• una valutazione della necessità e proporzionalità dei trattamenti;
• una valutazione dei rischi per i diritti e le libertà degli interessati;
• le misure previste per affrontare i rischi e dimostrare la conformità con la GDPR.

Le linee-guida espresse dal WP29 approfondiscono poi ulteriori criteri da seguire per la predisposizione di una DPIA nell’Allegato 2. La pubblicazione del documento come redatto, non è obbligatoria anche se risulta opportuno dare evidenza di una sintesi delle principali risultanze.

E se i rischi residuali sono elevati? In questo caso il Titolare dovrà consultare l’autorità di controllo prima di procedere al trattamento. La mancata consultazione dell’Autorità di controllo dove necessario, lo svolgimento non corretto di una DPIA o la totale mancanza della stessa prevedono l’imposizione di sanzioni amministrative pecuniarie fino ad un massimo di 10 milioni di Euro o, se si tratta di una impresa, fino al 2% del fatturato mondiale totale annuo.