Gdpr, addio alla vecchia verifica preliminare e via libera alla valutazione d'impatto
Con il regolamento Ue sulla privacy (2016/679, noto come Gdpr) è a regime l'era del fai-da-te. Addio alla vecchia verifica preliminare (una sostanziale richiesta di autorizzazione al Garante) e via libera alla valutazione di impatto privacy (o Dpia, che sta per Data protection impact assessment). Lo attesta il Garante della privacy, nella relazione annuale per il 2018 al parlamento, che descrive l'attività svolta dall'autorità presieduta da Antonello Soro.
Per i trattamenti che profilano rischio significativo per le persone non c'è più il procedimento di richiesta al Garante, finalizzata a ottenere prescrizioni ad hoc: il provvedimento del Garante diventava la disciplina da seguire nel caso concreto senza margini di incertezza o, se si vuole, era l'atto discostandosi dal quale si sapeva di andare incontro a sanzioni e risarcimenti del danno.
Nella relazione al Garante si dà risalto al fatto che la verifica preliminare è in soffitta e al suo posto si è presentata la valutazione d'impatto privacy, ora disciplinata dall'articolo 35 del Gdpr.
È importante, però, avere chiaro che una cosa era la verifica preliminare presso l'autorità di controllo e altro è la valutazione di impatto, che ci si fa in casa. Nel primo caso abbiamo un controllo esterno e un sostanziale via libera, nel caso in cui la verifica preliminare passi con esito favorevole. Nel secondo caso abbiamo, invece, una specie di perizia asseverata. Un po' come capita nell'edilizia con le segnalazioni di inizio attività: non bisogna aspettare il titolo abilitativo da parte dell'ufficio tecnico comunale, ma è la parte interessata che dichiara la conformità alla normativa urbanistico-edilizia. La stessa cosa capita con la privacy e con la valutazione di impatto. È il titolare del trattamento che deve autocertificare che il trattamento è nella norma e che i rischi, pur elevati che siano, sono governati e minimizzati a dovere.
Ovviamente la autocertificazione dovrebbe portare a una sburocratizzazione dell'adempimento, nel senso che non si ricorre a una autorità pubblica. Peraltro ciò, se accelera la possibilità di iniziare l'attività (nel nostro caso trattare i dati), non diminuisce affatto la responsabilità, anzi la amplifica (sono io titolare del trattamento a dire che tutto va bene).
Ci sono vari passaggi, tra cui il parere del Dpo (responsabile della protezione dei dati), e c'è la fase, possibile, della consultazione dei rappresentanti degli interessati (associazione di consumatori e utenti, per esempio). Ma tutto ciò non scalfisce la responsabilità del titolare del trattamento.
Nel dettaglio, la relazione del Garante spiega che a partire dal 25 maggio 2018 è stato soppresso l'istituto della verifica preliminare richiesta all'Authority (vecchio e abrogato articolo 17, del Codice della privacy, alias dlgs n. 196/2003) quando i trattamenti di dati di natura non sensibile presentavano rischi specifici per i diritti, le libertà fondamentali e la dignità dell'interessato.
Nel nuovo quadro normativo del regolamento Ue spetta direttamente al titolare del trattamento effettuare una «valutazione d'impatto sulla protezione dei dati» di ogni tipo di trattamento che presenti «un rischio elevato per i diritti e le libertà delle persone fisiche» (articolo 35 del Gdpr). Non si va più dal Garante per una valutazione di impatto privacy da cui emerga che tutti i rischi sono adeguatamente gestiti.
Quanto ai casi in cui va fatta la valutazione di impatto privacy, la relazione del Garante ricorda di avere già individuato un elenco di trattamenti da sottoporre all'iter (provvedimento 11 ottobre 2018, n. 467): attenzione, come spiega il Garante, tale elenco non è esaustivo, restando fermo quindi l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dalle Linee guida in materia di valutazione d'impatto del 4 aprile 2017 elaborate dal Gruppo art. 29 (ex gruppo dei Garanti europei).
A questo punto il Garante dà comunque un aiuto. È preziosissimo, infatti, il passaggio della relazione annuale per il 2018, in cui dice che l'attività di individuazione dei rischi specifici da parte del titolare potrà e dovrà tener conto dei provvedimenti adottati dal Garante in sede di verifica preliminare, con i quali sono stati già valutati numerosi e complessi profili di rischio relativi a diverse tipologie di trattamenti di dati personali,
In sostanza se c'è un vecchio provvedimento di verifica preliminare in un qualsiasi settore (dati trattati dai datori di lavoro, settore bancario, videosorveglianza, ecc.) quel provvedimento può ispirare anche le nuove valutazioni di impatto privacy.
Se dal Garante non si va per le valutazioni di impatto privacy, residua un caso in cui l'autorità di controllo può essere coinvolta. Il Garante potrà, infatti, essere chiamato a rendere un «parere scritto» al titolare in relazione ai soli trattamenti che presentino rischi elevati che il titolare stesso non abbia «identificato o attenuato sufficientemente» attraverso l'adozione di misure adeguate (articolo 36 del Gdpr). Attenzione, perché il presupposto della consultazione preventiva è che non si sa come fare a governare il rischio e, quindi, la faccenda è delicata già in partenza.
Fonte: Italia Oggi del 134 maggio 2019 - Articolo di Antonio Ciccia Messina
