Data Protection Officer e interessati vulnerabili: quali garanzie rafforzare
Le tutele previste in materia di protezione dei dati personali seguono un approccio basato sul rischio, dovendo di conseguenza andare a rafforzare delle garanzie nel momento in cui l’attività può cagionare – o intrinsecamente cagiona – un impatto nei confronti di interessati c.d. “vulnerabili”.
Questa categoria di soggetti viene richiamata dal considerando n. 75 GDPR nell’ambito del computo dei rischi derivanti dalla capacità di cagionare danni fisici, materiali o immateriali di taluni trattamenti riscontrabile nel principio di integrità e sicurezza, accountability e privacy by design, ad esempio. In forza di tale computo viene indicata l’esigenza di porre una particolare attenzione “se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori”.
All’interno delle linee guida WP248 riguardanti lo svolgimento della valutazione d’impatto, poi, l’elemento di vulnerabilità degli interessati è indicato fra i criteri di cui tenere conto per valutare l’obbligo di svolgimento di una DPIA. Non solo: trova anche una migliore definizione generale, come circostanza di squilibrio di potere tale per cui tali interessati possano o non essere in grado di esercitare in modo efficace i propri diritti o altrimenti trovarsi nell’incapacità di opporsi in modo consapevole alle attività di trattamento. Il catalogo esemplificativo che viene offerto a riguardo è piuttosto ampio ed eterogeneo: minori, dipendenti, infermi di mente, richiedenti asilo, anziani o pazienti.
Dal momento che a sua volta il Data Protection Officer deve seguire un approccio basato sul rischio per lo svolgimento dei propri compiti, è necessario che questi sappia declinarli in modo adeguato nel momento in cui l’organizzazione svolge attività di trattamento su dati personali di tale categoria di interessati. E di conseguenza si sappia porre come presidio per rafforzare le garanzie del GDPR, con l’adozione di un comportamento proattivo.
Ad esempio, indicando al titolare del trattamento l’obbligo di DPIA e andando poi a sorvegliarne lo svolgimento. O anche verificando che la trasparenza informativa abbia tenuto conto dei destinatari delle comunicazioni, garantendone la migliore accessibilità. Nell’ambito del controllo di sicurezza è necessario che la valutazione dei processi di selezione e di implementazione delle misure tecniche e organizzative per la mitigazione del rischio tenga conto dell’elemento specifico del maggiore impatto derivante da trattamenti illeciti o violazioni di dati personali di tale categoria di soggetti.
Per quanto riguarda l’assetto organizzativo interno, il DPO nel sorvegliare le politiche di formazione e sensibilizzazione del personale che partecipa alle attività di trattamento dovrà specificamente controllare tanto l’elemento della consapevolezza circa la circostanza di vulnerabilità degli interessati che l’adeguatezza delle istruzioni somministrate per garantirne una tutela. Mentre per l’esterno, sarà necessario controllare che i responsabili del trattamento abbiano ricevuto istruzioni documentate idonee a fornire analoga consapevolezza ed istruzioni, nonché siano vincolati ai medesimi standard di sicurezza impostati dall’organizzazione.