Valutazione d'impatto, fondamentale il parere del Data Protection Officer
Il Data Protection Officer, o Responsabile della Protezione dei dati (RPD) svolge un ruolo fondamentale nell’iter della valutazione di impatto sulla protezione dei dati (DPIA). L’articolo 35, paragrafo 2, RGPD prevede in modo specifico che il titolare “si consulta” con il RPD, quando svolge una DPIA. Inoltre l’articolo 39, paragrafo 1, lettera c) affida al RPD il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.
Il Gruppo di lavoro WP29 (Linee guida sui responsabili della protezione dei dati, Adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017 - WP243.rev 01) ha raccomandato che il titolare del trattamento si consulti con il RPD, fra l’altro, sui seguenti temi:
• se condurre o meno una DPIA;
• quale metodologia adottare nel condurre una DPIA;
• se condurre la DPIA con le risorse interne ovvero esternalizzandola;
• quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
• se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al RGPD.
Il parere del RPD è, dunque, un passaggio fondamentale.
Per tale ragione, tale atto deve essere esaustivo e dare conto dei profili del trattamento, delle ragioni che portano a un parere favorevole o ad uno sfavorevole.
Nel modello proposto si individuano anche i vari passaggi procedurali (confronto con interessati e loro associazioni, verifica di eventuali codici di condotta), si sottolineano i parametri e si stimano le variabili, che devono condurre alla espressione del parere.
A tale proposito si rammenta che il titolare del trattamento può non concordare con le indicazioni fornite dal RPD, ma, in tale caso, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni (Linee Guida, cit.).
Una volta terminato l’iter il titolare del trattamento deve decidere se eventualmente pubblicare almeno alcune parti della DPIA, ad esempio di una sintesi o della conclusione: si ricorda, in proposito, che la versione della valutazione d'impatto sulla protezione dei dati pubblicata non deve necessariamente contenere l'intera valutazione, soprattutto qualora essa possa presentare informazioni specifiche relative ai rischi per la sicurezza per il titolare del trattamento o divulgare segreti commerciali o informazioni commerciali sensibili ( WP29, Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017 , come modificate e adottate da ultimo il 4 ottobre 2017 – WP 248 rev. 01).