L’art. 35 del GDPR (C84, C89-C93, C95) prescrive – quando sia probabile che un tipo di trattamento possa creare un elevato rischio per i diritti e le libertà delle persone fisiche, ivi compreso il trattamento su larga scala di dati particolari – che il titolare del trattamento debba effettuare una preliminare valutazione d’impatto (DPIA).
Come riportato anche sul sito dell’Autorità Garante per la protezione dei dati personali italiana, la CNIL, l’Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d’impatto sulla protezione dei dati (DPIA).
Il software – gratuito e liberamente scaricabile dal sito www.cnil.fr (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil) – offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.
La versione in lingua italiana è stata messa a punto anche con la collaborazione del Garante per la protezione dei dati personali.
Occorre sottolineare che il software è in continua evoluzione, con revisioni introdotte anche sulla base dell’esperienza raccolta e delle segnalazioni degli utenti.
Il software NON costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d’impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d’impatto che va integrata in ragione delle tipologie di trattamento esaminate.
E’ inoltre bene ricordare che la valutazione d’impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.
Per approfondimenti, è disponibile anche un breve tutorial realizzato dal Garante italiano.
Ricordiamo brevemente che, con specifico riferimento alla figura dell’avvocato ed al trattamento dei dati dei relativi ai propri assistiti, il C91 precisa che tale trattamento non dovrebbe mai essere considerato su larga scala.
Ad onta di ciò, tuttavia, la valutazione di impatto è comunque necessaria laddove vengano soddisfatti almeno due dei nove dei criteri indicati dal WP29 (valutazione-punteggio, decisione automatica con effetto legale o simili; monitoraggio sistematico; raccolta di dati sensibili; collezione dati personali su larga scala; riferimenti incrociati di dati; persone vulnerabili; uso innovativo; esclusione del beneficio di un diritto-contratto). Maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d’impatto sulla protezione dei dati, indipendentemente dalle misure che il titolare del trattamento ha previsto di adottare.
