L’EDPB ha posto in consultazione pubblica un modello di valutazione d’impatto privacy (DPIA) fino al 9 giugno 2026. Alla luce dei contributi individuati, sarà così licenziato un modello definitivo che potrà essere adottato da ciascuna delle autorità di controllo come documento unico o con cui interfacciare gli ulteriori modelli specifici di ciascun Paese.
All’interno della comunicazione dell’apertura della consultazione pubblica c’è un invito a tutte le organizzazioni ad adottare il modello al fine di fornire dei feedback utili.
Effettivamente, il grande assente all’interno delle linee guida WP248 in materia di valutazione d’impatto sulla protezione dei dati personali (DPIA) era proprio un modello comune di riferimento. Nell’allegato 1 erano infatti inseriti degli esempi di alcuni metodi generici o di settore, mentre nell’allegato 2 era presente una checklist di controllo per la completezza della DPIA (“Criteri per una valutazione d’impatto sulla protezione dei dati accettabile”).
Il motivo non è stato però una dimenticanza, bensì una scelta di rimettere ai titolari, in forza del principio di accountability, un’ampia libertà di definire il processo a condizione che mantenga tutti gli elementi costitutivi di cui all’art. 37 par. 7 GDPR.
Ci si deve chiedere, dunque, se questo sia un cambio di rotta e quale sia la direzione che si vuole intraprendere anche per comprendere se il modello è e rimarrà una proposta alla stregua di una “prassi esemplare” o se altrimenti può avere una differente natura.
Indice degli argomenti
La natura del modello: obbligo o strumento?
Circa la natura del modello proposto, ci si domanda infatti se sarà qualcosa più o meno obbligatorio, o se altrimenti sarà più uno strumento posto a disposizione delle organizzazioni.
Auspicabilmente, si spera nel secondo scenario ma qualche timore potrebbe emergere nel caso in cui una o più autorità di controllo decidano di veicolare, ad esempio, la richiesta di consultazione preventiva attraverso una DPIA redatta secondo il modello proposto.
O se nei loro interventi correttivi prendano tale modello come benchmark con l’effetto di indurre con una spinta tutt’altro che gentile all’adozione dello stesso per rendicontare lo svolgimento di quel processo di valutazione d’impatto privacy che, tanto nella norma quanto nelle linee guida, rimette la definizione e specificazione dei contenuti al titolare.
Cosa emerge dal modello proposto
Il modello proposto non è altro che una semplice tabella in word e già questo potrebbe far sorgere qualche dubbio su come mai non si sia preferito un formato open source, ma non è il caso di andare fuori tema.
Lo schema proposto non si discosta dal contenuto delle norma e dalle indicazioni già fornite nelle linee guida, e il coordinamento con la guida (“EDPB DPIA Template explainer”) consente ad un’organizzazione di condurre una valutazione d’impatto in modo dettagliato, fornendo anche delle indicazioni di metodo sulla valutazione dei rischi.
Il tutto, lasciando sempre un ampio spazio al motivare le scelte, che è quel cardine ineliminabile del principio di accountability che potrebbe apparire sfumato dalla proposta di un qualsivoglia “modello”.
È lecito porsi un dubbio, tenendo conto soprattutto dell’attenzione proposta in sede europea alla tematica della semplificazione, e quindi ci si domanda come mai non sia stata (ancora) prodotta anche una versione semplificata (“lite”) rivolta alle organizzazioni più semplici che però si possono trovare a dover gestire trattamenti per cui è necessario lo svolgimento di una valutazione d’impatto.
Inoltre, il modello è generico e quindi probabilmente segue l’ambizione di essere uno strumento del tipo one size fits all che però mal si concilia sia con le significative differenze fra settori sia con la libertà che si rimette ai titolari di definire i propri processi garantendo il perseguimento degli obiettivi indicati dalla norma. Ovviamente, assumendosi le dovute responsabilità.
Al di là di un modello da compilare, il messaggio più importante che si può trarre è alla stregua di un easter egg.
Infatti, volendo andare un po’ oltre i pixel e i byte, bisogna comprendere che la valutazione d’impatto è un processo su cui l’organizzazione deve profondere un impegno concreto, attuale e che non può essere svolto come un passaggio burocratico di poco conto.
Ogni passaggio è l’occasione di motivare delle scelte, ma soprattutto esprime una concatenazione logica che dev’essere coerente e metodica, con lo scopo di orientare il percorso decisionale che dà definizione a quell’esatta modalità di trattamento che vive nei desiderata del titolare e che per trovare attuazione va puntualmente analizzata sotto tuti i profili (principalmente: liceità, necessità, proporzionalità e sicurezza).
Come accountability vuole, dopotutto.
