La valutazione di impatto privacy, introdotta dal nuovo Regolamento europeo, costituisce un adempimento prodromico al trattamento stesso e consiste nell’esaminare, in tutti i casi in cui il trattamento sia svolto con l’uso delle nuove tecnologie, l’incidenza che le attività poste in essere dal titolare riverberano sui dati personali. La valutazione, che può essere fatta anche per trattamenti omogenei, è strumentale a quantificare il c.d. “rischio”, ovvero la percentuale di possibilità che si determini un trattamento illecito di dati.
A tal fine il titolare (non altri, in quanto il privacy officer potrà fornire solo un parere) dovrà analizzare in particolare l’origine, la natura e la particolarità del trattamento: qualora il rischio risulti elevato sarà suo onere, ancora una volta, predisporre le misure di sicurezza idonee (in tal caso i Considerando del Regolamento fanno costante riferimento alle misure di sicurezza conosciute allo stato dell’arte, e quindi quelle più evolute da un punto di vista tecnico). La valutazione di impatto è poi richiesta con particolare incisività tutte le volte in cui il trattamento sia soggetto a notificazione (l’obbligo generale è stato eliminato, ma permane in alcuni casi più ristretti, inerenti a trattamenti che comportano rischi elevati per i diritti e le libertà degli interessati): in tal caso la valutazione dovrà dimostrare la conformità del trattamento a tutte le disposizioni cogenti del Regolamento. I criteri attraverso i quali condurre la valutazione potranno essere esplicitati anche da codici di condotta, linee guida e certificazioni approvate.
La valutazione di impatto privacy è poi oggetto di specifiche previsioni normative allorquando concerna trattamenti posti in essere dalle PP.AA.: in tale ipotesi dovrà coinvolgere l’intero progetto di trattamento, come nel caso in cui si voglia istituire un’applicazione o una piattaforma comune tra PP.AA., e quindi per attività trasversali.
La valutazione di impatto, a norma dell’art. 35, è richiesta in particolare quando: vi sia un trattamento automatizzato, compresa la profilazione degli utenti; il trattamento riguardi dati sensibili o giudiziari; il trattamento consista nella sorveglianza di un luogo accessibile al pubblico. Di questi trattamenti l’Autorità di controllo dovrà redigere un elenco e dovrà altresì comunicarlo al Comitato europeo per la protezione dei dati, mentre nel caso in cui la valutazione non sia obbligatoria avrà solo la facoltà e non l’obbligo di porre in essere tali attività.
L’unica eccezione all’obbligo di valutazione concerne i trattamenti svolti in adempimento di un obbligo di legge o per interesse pubblico: in tal caso, se la valutazione è stata fatta prima dell’adozione dell’atto normativo di base, non è necessario ripeterla nuovamente. E quindi, se la norma che rende obbligatorio quel determinato trattamento è stata adottata a seguito di un iter che ha già preso in considerazione il rischio in relazione alla tutela delle informazioni personali, la valutazione di impatto non è più necessaria, proprio in quanto già espletata “a monte” dal legislatore.
Al mutare delle modalità e dell’oggetto di trattamento, la valutazione dovrà poi essere ripetuta: analogie evidenti si riscontrano negli obblighi di informativa (artt. 13 e 14). Ma qual è il contenuto della valutazione? Il comma 7 del citato art. 35 ci dice che essa contiene “almeno”: la descrizione del trattamento, delle finalità, compreso l’interesse, che deve essere legittimo, del titolare; una valutazione della proporzionalità del trattamento rispetto agli interessi perseguiti; una valutazione dei potenziali rischi per i dati degli interessati.
Qualora dall’analisi effettuata emerga un rischio elevato ed il titolare non abbia adottato le misure di sicurezza idonee a contenerne i possibili effetti conseguenti, l’Autorità di controllo potrà fornire un parere sugli accorgimenti tecnici ulteriori da adottare.