Il Garante europeo della protezione dei dati (EDPS) ha pubblicato un rapporto che descrive come le istituzioni e gli organismi dell’Unione europea effettuano le valutazioni d’impatto sulla protezione dei dati rispetto alle attività di trattamento che svolgono. Vediamo quali sono le lezioni che altri operatori, compresi quelli del settore privato, possono trarre dal rapporto dell’EDPS.
Indice degli argomenti
La DPIA secondo il GDPR
Una delle principali novità introdotte dal GDPR è stata quella di imporre ai titolari del trattamento di effettuare, prima di procedere al trattamento, una valutazione d’impatto sulla protezione dei dati (DPIA), qualora il trattamento possa presentare un rischio elevato per i diritti e le libertà degli interessati. Si tratta di uno strumento, inizialmente utilizzato solo in Nuova Zelanda e in Australia, volto a responsabilizzare i titolari rispetto alle conseguenze dei trattamenti che intendono eseguire per la privacy e i diritti delle persone.
L’obbligo di effettuare una DPIA grava soprattutto su quei titolari che intendono far uso di nuove tecnologie (in quanto si presume che queste possano presentare rischi maggiori o inesplorati), e va inteso nel contesto dell’obbligo generale di gestire adeguatamente i rischi connessi al trattamento di dati personali.
Con l’adozione del Regolamento (UE) 2018/1725 quest’obbligo è stato esteso anche alle istituzioni, agli organi e agli organismi dell’Unione europea (come la Commissione europea, l’Agenzia europea per i medicinali, l’Agenzia europea per la sicurezza delle reti e dell’informazione, ecc.).
Il Garante europeo della protezione dei dati (EDPS), il cui compito principale consiste nel monitorare le attività di trattamento degli organismi e delle istituzioni europee, ha recentemente condotto un’inchiesta su come tali organismi e istituzioni effettuano le valutazioni d’impatto sulla protezione dei dati; un’inchiesta che si è conclusa con la pubblicazione di un rapporto. Il rapporto dell’EDPS rivela come, data la novità dello strumento, anche le istituzioni europee abbiano poca dimestichezza con le DPIA, visto che ad oggi quasi nessuna istituzione ne ha effettuate più di due. Tuttavia, le best practice seguite dalle istituzioni europee, e riportate nel rapporto dell’EDPS, possono risultare utili a migliorare l’utilizzo delle DPIA anche nel settore privato.
Le lezioni da trarre dal rapporto dell’EDPS
Alcuni spunti interessanti emergono dalle statistiche riportate nel rapporto dell’EDPS. Ad esempio, il rapporto rivela come pochissime istituzioni facciano uso di consulenti esterni per effettuare una DPIA, e tendano invece a coinvolgere il proprio DPO interno. Ciò suggerisce come l’opportunità di rivolgersi a consulenti esterni vada sempre valutata con cautela, tenendo in debita considerazione le specifiche competenze tecniche che questi sono in grado di offrire.
Un altro dato interessante è la lunghezza media delle DPIA delle istituzioni europee: circa 16 pagine. Il che suggerisce che una buona DPIA non debba per forza essere lunga. Per quanto riguarda gli aspetti procedimentali delle DPIA, il rapporto sottolinea la necessità di cominciare a riflettere il prima possibile sulle possibili conseguenze in termini di privacy di un determinato progetto che prevede il trattamento di dati personali, in modo da avere tempo per effettuare una DPIA, che spesso richiede tempi lunghi.
Qualora una determinata attività di trattamento in programma coinvolga terze parti, il rapporto raccomanda particolari cautele. Ad esempio, viene suggerito che, ove non sia possibile aspettare di aver ultimato una DPIA prima di firmare i contratti con i fornitori di servizi esterni che verranno coinvolti nelle attività di trattamento in qualità di responsabili, l’esecuzione dei contratti venga subordinata all’effettivo completamento di una DPIA.
Sarebbe inoltre opportuno imporre in via contrattuale a tali soggetti di collaborare all’effettuazione della DPIA, visto che la mancanza di collaborazione da parte di soggetti esterni è una delle ragioni per cui le DPIA risultano spesso dispendiose in termini di tempo.
Il rapporto rivela inoltre come risulti spesso difficile convincere tutti i livelli di un’organizzazione dell’utilità di svolgere una DPIA. È quindi necessario cercare di spiegare chiaramente all’interno dell’organizzazione quali siano i vantaggi di una DPIA, ed evitare di presentarla come un mero obbligo di legge. Secondo quanto indicato dal rapporto dell’EDPS, molte istituzioni europee non pubblicano le proprie DPIA.
A questo proposito, è importante sottolineare come, nonostante non esista uno specifico obbligo in tal senso, la pubblicazione degli esiti delle DPIA è spesso raccomandata dalle autorità Garanti della privacy europee. Ad esempio, le recenti linee guida dell’EDPB sull’uso delle app di contact-tracing raccomandano vivamente la pubblicazione delle DPIA relative all’uso di tali app. Pertanto, sotto questo aspetto, la prassi seguita dalle istituzioni europee non pare un esempio virtuoso.
Infine, è interessante notare come anche le istituzioni europee ritengano che siano necessarie ulteriori linee guida in materia di DPIA. È quindi legittimo attendersi che non solo l’EDPS, ma anche l’EDPB non tarderà a pubblicare nuove linee guida in materia, in aggiunta alle linee guida su come valutare se un determinato trattamento “possa presentare un rischio elevato”, e richieda quindi una DPIA ai sensi del GDPR.
Conclusioni
Il rapporto dell’EDPS ha rivelato come non siano solo gli operatori del settore privato a dover acquisire domestichezza con le valutazioni d’impatto sulla protezione dei dati.
Tuttavia, una lettura attenta dello stesso può fornire un utile strumento per orientarsi ed effettuare al meglio tali valutazioni.
