7/10 Sono tenuto a effettuare la valutazione di impatto?
di Alessandro Curioni
La valutazione di impatto è obbligatoria quando il trattamento presenta un «rischio elevato» e la questione che tipicamente affligge i titolari è comprendere in quali circostanze si è vincolati a svolgerla.
In realtà, se l’organizzazione ha correttamente interpretato i temi posti dalla protezione fin dalla progettazione e per impostazione predefinita saprà precisamente quali sono i trattamenti ad alto rischio. Quindi la valutazione d’impatto sulla protezione dei dati deriva da una presa d’atto di quanto emerso da un’attività svolta in precedenza. Questo fermo restando che, in alcuni casi, lo stesso Regolamento la richiede. Si tratta di situazioni in cui si effettua una valutazione continua e complessiva di determinate attività dell’interessato, oppure quando si svolgono attività su larga scala di sorveglianza o trattamento di categorie particolari di dati.
In generale il tema appare ostico, tanto da indurre il legislatore a prevedere che il titolare consulti il Dpo sulla materia. Un ulteriore aiuto dovrebbe arrivare dalle autorità di controllo, alle quali il Regolamento richiede di stabilire quali trattamenti siano soggetti alla valutazione ed eventualmente quelli che possano essere esclusi. La norma, infine, segnala come eventuali codici di condotta redatti dalle associazioni di categoria e approvati dall’autorità di controllo potrebbero fornire indicazioni in materia e la previsione di raccogliere il parere degli interessati, per esempio tramite le associazioni dei consumatori, che potrebbe dare utili elementi per meglio definire le casistiche.
Tuttavia, considerando la rapida evoluzione delle tecnologie - basta pensare all’Internet delle cose e ai Big data - la possibilità che tali indicazioni diventino prima o poi esaustive è remota e ancora una volta riemerge il tema dell’accountability per il titolare, al quale vengono rimesse le decisioni finali anche su questa materia e l’onere di dimostrare la correttezza delle sue scelte.
Quell’attività di analisi e valutazione del rischio, da svolgere in ossequio alla protezione dei dati fin dalla progettazione, è di certo il punto di partenza per comprendere se e quali trattamenti richiedono l’approfondimento di una valutazione d’impatto. Questo porta a pensare che nell’ambito del Regolamento la protezione dei dati fin dalla progettazione e la valutazione d’impatto possano collassare in un’unica attività completamente integrata. Le implicazioni sono significative perché i reali adempimenti sarebbero all’interno della protezione fin dalla progettazione, mentre la valutazione d’impatto finirebbe per essere una specifica formalizzazione per formulare un’eventuale richiesta di consultazione preventiva all’autorità di controllo. La vera domanda diventa non tanto se effettuarla o meno, ma se vale la pena rischiare la non conformità per non formalizzare un’attività già svolta.
© Riproduzione riservata