Lo scorso 4 aprile il Gruppo di Lavoro ex art. 29 (WP 29) ha adottato delle linee guida in tema di Data Protection Impact Assesment, volte innanzitutto a definire dei criteri comuni a tutti i Titolari, che possano costituire un ausilio nell’individuazione delle operazioni di trattamento che richiedono l’effettuazione di una valutazione d’impatto. Ciò in quanto essa non risulta obbligatoria in tutte le ipotesi, bensì soltanto nel caso in cui un tipo di trattamento possa “presentare un rischio elevato per i diritti e le libertà dell’interessato”, oltre che nelle ipotesi specificamente previste dal co. III dell’art. 35 del Regolamento. Di fondamentale importanza risulta dunque stabilire quando in concreto un trattamento possa considerarsi rischioso e richieda di valutare l’impatto che esso avrebbe sulla protezione dei dati personali, non essendo tale indicazione contenuta all’interno del Regolamento. Al riguardo, le linee guida invitano a prendere in considerazione la sussistenza di una serie di aspetti, tra cui ad esempio:
- un processo di valutazione dell’interessato, compresa la profilazione, in particolare al fine di valutare aspetti riguardanti la situazione economica, la salute, le preferenze, gli interessi personali, ecc.;
- un monitoraggio sistematico degli interessati, che in alcuni casi potrebbero non essere consapevoli del tutto di chi sta trattando i loro dati e delle modalità con le quali il trattamento viene effettuato. Ciò vale, ad esempio, nelle ipotesi di dati raccolti in spazi pubblici o aperti al pubblico;
- effettuazione, su larga scala, di operazioni di trattamento di categorie particolari di dati personali di cui all’art. 9 o di dati relativi a condanne penali e reati di cui all’art. 10 del GDPR (ipotesi che rientra, tra l’altro, tra quelle specificamente previste dal co. III dell’art. 35). Ciò vale, ad esempio, rispetto ad un ospedale che conserva i dati dei pazienti, ma non potrà valere rispetto alle operazioni di trattamento poste in essere dal singolo medico;
- dati che riguardano soggetti vulnerabili, quali potrebbero essere i minori o i lavoratori con riferimento al trattamento effettuato dal proprio datore di lavoro. In tal caso viene infatti a crearsi uno squilibrio di poteri tra il Titolare e l’interessato, che impedisce a quest’ultimo di prestare liberamente il consenso o di esercitare il diritto di opposizione;
- utilizzo di soluzioni tecnologiche o organizzative di carattere innovativo;
- trasferimenti di dati personali al di fuori dell’Unione Europea, prendendo in considerazione, tra le altre cose, il Paese di destinazione, la possibilità di ulteriori trasferimenti o la probabilità di trasferimenti basati su «deroghe in specifiche situazioni» (art. 49 del GDPR);
Le linee guida pubblicate lo scorso 4 aprile si pongono altresì l’obiettivo di individuare una serie di operazioni di trattamento rispetto alle quali l’effettuazione della valutazione d’impatto non è necessaria, la definizione di criteri comuni aventi ad oggetto la metodologia da adottare, nonché l’individuazione dei casi in cui è necessario consultare l’Autorità di Controllo, ex art. 36 co. I (obbligatoria nel caso in cui, all’esito della valutazione, emerga la sussistenza di un rischio elevato “in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”).
Esse, inoltre, contengono un focus sulle operazioni di trattamento ancora in corso alla data di definitiva applicabilità del Regolamento (25 maggio 2018). Sebbene tali operazioni formalmente non richiederebbero di effettuare una valutazione d’impatto, nelle citate linee guida il WP 29 invita a valutarne comunque l’opportunità. Ad ogni modo, si dovrà verificare la sussistenza di eventuali variazioni del rischio rappresentato dalle attività relative al trattamento, in quanto in tal caso sarà necessario procedere con l’effettuazione della valutazione d’impatto, sebbene la stessa formalmente non risulti obbligatoria. Ciò si verifica, ad esempio, qualora rispetto ad un trattamento già in corso venga utilizzata una nuova tecnologia o i dati vengano trattati per finalità differenti.
In generale, il WP 29 considera una buona prassi procedere con la DPIA almeno ogni tre anni, che rappresenta un periodo di tempo congruo decorso il quale valutare le circostanze del caso concreto ed eventuali cambiamenti verificatisi e, eventualmente, effettuare una nuova valutazione d’impatto.