Regolamento - 27/04/2016 - n. 679 art. 35 - Valutazione d'impatto sulla protezione dei dati

Quando effettuare la valutazione di impatto? I casi espressamente previsti dal Regolamento

Se si volesse individuare un primo criterio generale che regola la scelta circa l'effettuazione della valutazione di impatto, a prescindere dalla tipologia di trattamento effettuato (natura, oggetto, finalità e contesto), esso è costituito dall'uso (o meno) di nuove tecnologie. Tale previsione è desumibile dall'art. 35.1, il quale prescrive l'esecuzione della DPIA «allorché [il trattamento] prevede in particolare l'uso di nuove tecnologie». Il fatto che la valutazione di impatto venga legata al grado di innovatività della tecnologia con cui viene effettuato il trattamento non deve stupire. Infatti, si deve considerare che, verosimilmente, per ogni nuova tipologia di strumento si avranno diversi gradi di rischio per i diritti e le libertà delle persone fisiche. Ciò non significa che un trattamento con nuove tecnologie presenti un rischio sempre elevato, ma è chiara la ratio che dà peso alla “novità” come elemento determinante: laddove la tecnologia sia ancora poco comune o in via di prima diffusione, di essa non si avrà una perfetta conoscenza circa le potenziali minacce alla sicurezza dei dati. Si pensi, ad esempio, al caso dell'Internet delle cose (Internet of Things, IoT). Nonostante già oggi vi sia una vasta gamma di oggetti intelligenti in uso, nei luoghi privati come in quelli pubblici, continua a diversificarsi la tipologia di tecnologie utilizzate per trattare i dati, tanto che spesso l'interessato non è neanche a conoscenza della presenza di una certa funzione di trattamento dei dati nel dispositivo. L'interessato si atteggia, in un contesto IoT, sempre più spesso come “non-utente”, suo malgrado e a sua insaputa oggetto di trattamenti avanzati di propri dati: un interessato si potrebbe ritrovare, così, ad entrare in un negozio dotato di impianto di videosorveglianza debitamente segnalato, in grado però di effettuare anche un riconoscimento biometrico del visitatore in tempo reale, grazie all'analisi delle caratteristiche fisiche e comportamentali, rilevate mediante sensori biometrici e di prossimità. Tali tecnologie presentano “novità” intrinseche, sia in termini di modalità di raccolta, sia quanto a modalità di trattamento e analisi dei dati, sia per gli effetti e le azioni che possano conseguirvi (es. allarmi, blacklisting, creazione di dati nuovi ecc.).

Posta, dunque, la correlazione tra strumenti del trattamento dalla portata tecnologica innovativa e il derivante criterio generale di svolgimento della DPIA, è bene soffermarsi anche sulle specifiche operazioni di trattamento che necessitano di una valutazione di impatto a prescindere dai mezzi con cui vengono effettuate. In tal senso, l'art. 35.3 richiede che la si effettui in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'art. 9, paragrafo 1, cioè dati sensibili, o di dati relativi a condanne penali e a reati di cui all'art. 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Con riferimento al punto a), in questa sede, preme ricordare che trattandosi di un trattamento automatizzato che esclude l'intervento umano, esso ha la capacità di produrre «effetti giuridici» o incidere «significativamente» sull'interessato senza che egli abbia ex ante la possibilità di «esprimere la propria opinione e di contestare la decisione» (cfr. considerando 71 e art. 22.3). Per esempio, le valutazioni sistematiche e globali di aspetti personali (tra cui la profilazione), possono dare luogo a rischi di varia natura dettati da inesattezze derivanti dall'uso di algoritmi automatizzati che possono avere sia «effetti discriminatori sulla base della razza o dell'origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell'appartenenza sindacale, dello status genetico, dello stato di salute o dell'orientamento sessuale» sia determinare l'assunzione di decisioni che tali effetti discriminatori (cfr. considerando 71) – c.d. “rischi immateriali”.

Con riguardo, invece, ai punti b) e c), l'uso del concetto di trattamento «su larga scala» è motivato dal considerando 91, combinato alla lettura del considerando 75. Il primo, infatti, precisa che tale trattamento necessita della DPIA in quanto la quantità di dati trattati è notevole e il loro trattamento può incidere «su un vasto numero di interessati». Il considerando 91, più precisamente, auspica l'effettuazione della valutazione di impatto per due precise tipologie di trattamenti su larga scala: quelli che mirano al «trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale [...] nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l'esercizio dei propri diritti». Nelle Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento adottate il 4 aprile 2017, versione successivamente emendata e adottata il 4 ottobre 2017, il Gruppo di lavoro Articolo 29 raccomanda di tenere conto, in particolare, dei fattori seguenti al fine di stabilire se un trattamento sia svolto su larga scala: a. numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; b. volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; c. durata, o persistenza, dell'attività di trattamento; d. ambito geografico dell'attività di trattamento.

È bene, tuttavia, precisare che il concetto di trattamento «su larga scala» non è da considerarsi tale «qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato». In tali casi, infatti, è lo stesso considerando 91 ad escludere che via sia un obbligo ad effettuare la DPIA, dal momento che le finalità del trattamento (sanitarie e legali, nella fattispecie) non implicano – o, meglio, non dovrebbero implicare – un «rischio elevato per i diritti e le libertà degli interessati» visti gli obblighi professionali cui sono sottoposti medici e avvocati, quali, ad esempio, il segreto professionale e più in generale le norme deontologiche.

Il punto b) dell'art. 35.3 riguarda il trattamento di dati sensibili o dati relativi a condanne penali e reati. In questi casi è piuttosto evidente che, per loro stessa natura, i predetti dati, a maggior ragione se trattati «su larga scala», potrebbero comportare impatti a «rischio elevato» sui diritti e le libertà degli interessati. Data la loro sensibilità sarà pertanto necessario per il titolare predisporre tutte le misure «per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità» al Regolamento ex art. 35.7.

Il punto c) dell'art. 35.3, invece, si riferisce alla sorveglianza sistematica (su larga scala, anch'essa) di zone accessibili al pubblico. Potremmo pensare a grandi centri commerciali, per esempio. In tale previsione è possibile scorgere un legame con l'art. 8 della Conv. EDU che protegge la sfera privata dell'individuo da un'ingerenza ingiustificata, non potendosi qui condividere un'interpretazione – aberrante nell'era digitale – per cui la “sfera privata” debba essere solo quella isolata dai contesti accessibili al pubblico: è sfera privata la sfera personale, anche in contesti accessibili al pubblico o pubblici, se può essere lesa la libertà dell'essere umano (o perfino il “senso” di libertà, si pensi al caso delle telecamere finte che ingenerano comunque sensazione opprimente di controllo). In linea di principio, è bene non dimenticare che la protezione dei dati può definirsi come un diritto fondamentale “strumentale”, teleologicamente rivolto alla tutela di dignità e libertà dell'individuo.

Alcuni spunti circa i potenziali rischi per i diritti e le libertà degli interessati possono essere tratti dal GPDP 8 aprile 2010, n. 99 [doc. web n. 1712680], adottato dal GPDP in materia di videosorveglianza. Oltre al concetto di «larga scala», è determinante anche il carattere della “sistematicità” che può compromettere il diritto alla protezione dei dati personali e della sfera privata se l'attività di videosorveglianza non viene effettuata «nel rispetto del principio di proporzionalità sia nella scelta delle modalità di ripresa e dislocazione (es. tramite telecamere fisse o brandeggiabili, dotate o meno di zoom), nonché nelle varie fasi del trattamento che deve comportare, comunque, un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite» (cfr. GPDP, 8 aprile 2010, n. 99 [doc. web n. 1712680]. Non è un caso che il Garante per la protezione dei dati personali abbia deciso di sottoporre sin dal 2004 determinati tipi di trattamenti di dati, nell'ambito di un'attività di videosorveglianza, all'obbligo di una verifica preliminare ex art. 17 cod. privacy: è stato il caso dei software di elaborazione intelligente delle immagini raccolte o quello della durata di conservazione superiore a sette giorni.

Il punto cruciale, che può essere dedotto dall'art. 35.3.c) rispetto all'uso della locuzione «sorveglianza sistematica su larga scala» è che la DPIA non dipende dalla finalità del trattamento (protezione e incolumità degli individui o della proprietà, sicurezza urbana, prevenzione, accertamento o repressione dei reati ecc.) ma dalla sua natura («sistematica» e «su larga scala»).

Si noti dunque che la valutazione di impatto, ancorché effettuata sempre per prevenire i rischi elevati per i diritti e le libertà degli interessati (per la definizione del concetto di rischio, trova fondamento in cause diverse a seconda che si tratti dei punti a), b) e c) dell'art. 35.3.

Nel punto a), la DPIA è motivata dalla modalità del trattamento e dalle sue finalità, in sostanza dagli effetti voluti, che implicano valutazioni automatizzate di aspetti della personalità, come la profilazione; nel punto b) essa si ritiene necessario vista la natura particolarmente sensibile dei dati oggetto del trattamento, sensibili e giudiziari; nel punto c) la funzione della DPIA è quella di prevenire eventuali utilizzi impropri dei dati e loro possibili abusi derivanti dalla natura del trattamento che, se effettuato «su larga scala», andrebbe ad impattare sulla (o anche solo sul senso di) libertà di un vasto quantitativo di soggetti, regolarmente monitorati dagli impianti di sorveglianza; infine, sia nel punto b) sia nel punto c) viene considerato il contesto del trattamento («su larga scala»).

Si noti che natura, oggetto, contesto e finalità del trattamento costituiscono proprio i criteri valutativi in base ai quali il titolare dovrà decidere se procedere o meno a una valutazione di impatto, in tutti gli altri casi non espressamente previsti dall'art. 35.3 o dalle decisioni delle autorità ex art. 35.4 o 35.5. (Bolognini, Pelino, Bistolfi).

I “rischi elevati” per i diritti e le libertà dell'interessato: opportunità di effettuare la DPIA nei casi non previsti dal GDPR

Prendendo spunto dal considerando 75 che enuncia alcuni dei rischi per i diritti e le libertà delle persone fisiche, si possono dividere i rischi in due diverse categorie, a seconda che i danni cagionati all'interessato siano «materiali o immateriali». Tra i rischi immateriali si potrebbero includere la perdita del controllo sui dati personali, la limitazione dei diritti dell'interessato, la discriminazione, il pregiudizio alla reputazione, la perdita di riservatezza dei dati personali protetti da segreto professionale, il furto o l'usurpazione d'identità; tra quelli materiali, invece, rientrano non solo le violazioni delle misure di sicurezza – come la decifratura non autorizzata della pseudonimizzazione o la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati – ma anche le perdite finanziarie e gli altri rischi ad effetto materiale (sempre più, complice l'Internet delle cose, si avranno per esempio, a valle, effetti fisici derivanti da trattamenti virtuali di dati, a monte). Inoltre, tutti i rischi “materiali” possono creare nocumento immateriale, ma è anche possibile che i rischi “immateriali” generino a loro volta danni “materiali”, come ad esempio perdite finanziarie o economiche derivanti da pregiudizi o discriminazioni.

Come dimostrano gli esempi dell'art. 35.3 di cui al comm. 2, i rischi possono (e devono) essere individuati non solo in considerazione dei danni cagionati (conseguenza), ma anche con riferimento alla natura, l'oggetto, il contesto e le finalità del trattamento (causa), poiché tali elementi possono impattare sulla protezione dei dati in modo differente. Ad esempio, è verosimile aspettarsi un grado di rischio maggiore, con conseguente danno (immateriale, ma non di rado anche materiale), laddove oggetto del trattamento siano dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza (cfr. considerando 75). Lo stesso vale per le finalità di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali (cfr. considerando 75), soprattutto se tali valutazioni avvengono con modalità di trattamento automatizzate. Ancora, il rischio per le libertà e i diritti degli interessati aumenta se l'oggetto del trattamento è costituito da dati appartenenti a soggetti vulnerabili, in particolare minori o se il trattamento avviene in un contesto ampio, in cui viene trattata una notevole quantità di dati personali riguardanti un vasto numero di interessati. Un metodo per selezionare, tra i vari trattamenti censiti nel registro, quelli da sottoporre a DPIA è indicato dagli stessi Garanti europei. Nelle menzionate Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento adottate il 4 aprile 2017, versione successivamente emendata e adottata il 4 ottobre 2017, il Gruppo di Lavoro Articolo 29 indicava i seguenti nove criteri per valutare se un trattamento di dati personali dovesse essere sottoposto a valutazione d'impatto (DPIA), ricorrendone almeno due di nove nel caso di specie da analizzare: “1. Trattamenti valutativi o di scoring, compresa la profilazione e attività predittive, in particolare a partire da “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato” (considerando 71 e 91). A titolo esemplificativo si possono citare un istituto finanziario che effettui lo screening dei propri clienti utilizzando un database di rischio creditizio ovvero un database per la lotta alle frodi o al riciclaggio e al finanziamento del terrorismo (AML/CTF); una società operante nel settore delle biotecnologie che offra test genetici direttamente ai consumatori per finalità predittive del rischio di determinate patologie o in generale per lo stato di salute; una società che crei profili comportamentali o di marketing a partire dalle operazioni o dalla navigazione compiute sul proprio sito web. 2. Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura: trattamenti finalizzati ad assumere decisioni su interessati che producano “effetti giuridici sulla persona fisica” ovvero che “incidono in modo analogo significativamente su dette persone fisiche” (art. 35, paragrafo 3, lettera a). Per esempio, il trattamento può comportare l'esclusione di una persona fisica da determinati benefici ovvero la sua discriminazione. Il trattamento che produce effetti minimi o nulli su un interessato non soddisfa questo specifico criterio. Per maggiori dettagli sui concetti in gioco si rimanda alle Linee-guida in materia di profilazione che il Gruppo di lavoro si appresta a pubblicare. 3. Monitoraggio sistematico: trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o “la sorveglianza sistematica di un'area accessibile al pubblico” (art. 35, paragrafo 3, lettera c)). Questa tipologia di monitoraggio costituisce un criterio, ai fini della DPIA, in quanto la raccolta di dati personali può avvenire in circostanze tali da non consentire agli interessati di comprendere chi vi stia procedendo e per quali finalità. Inoltre, è talora impossibile per gli interessati sottrarsi a questa tipologia di trattamenti in aree pubbliche (o pubblicamente accessibili). 4. Dati sensibili o dati di natura estremamente personale: si tratta delle categorie particolari di dati personali di cui all'art. 9 (per esempio, informazioni sulle opinioni politiche di una persona fisica) oltre ai dati personali relativi a condanne penali o reati di cui all'art. 10. A titolo di esempio, si può citare un ospedale che conserva le cartelle cliniche dei pazienti, o un investigatore privato che conserva informazioni su soggetti responsabili di reati. Al di là di queste disposizioni del regolamento, vi sono talune categorie di dati che possono aumentare i rischi eventuali per i diritti e le libertà delle persone fisiche. Si tratta di dati personali considerati sensibili (nell'accezione comune del termine), in quanto connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza) ovvero in quanto incidono sull'esercizio di un diritto fondamentale (quali i dati sull'ubicazione, la cui raccolta mette in gioco la libertà di circolazione) ovvero in quanto una loro violazione comporta evidentemente un grave impatto sulla vita quotidiana dell'interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti). A tale proposito, può essere pertinente la circostanza per cui i dati siano già stati resi pubblici dall'interessato ovvero da terzi. Il fatto che un certo dato personale sia disponibile pubblicamente può essere un elemento da prendere in esame nel valutare l'aspettativa di un utilizzo ulteriore di tale dato per determinati scopi. Il criterio in oggetto può riferirsi anche a dati quali documenti personali, email, agende, appunti tratti da lettori elettronici dotati di dispositivi per la presa di appunti, e informazioni molto personali contenute in applicazioni che consentono di tenere traccia del proprio stile di vita. 5. Trattamenti di dati su larga scala: il regolamento non offre definizioni del concetto di “larga scala”, anche se il considerando 91 fornisce indicazioni in merito. 6. Combinazione o raffronto di insiemi di dati, per esempio derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dalle ragionevoli aspettative dell'interessato. 7. Dati relativi a interessati vulnerabili (considerando 75): il trattamento di questa tipologia di informazioni rappresenta un criterio ai fini della DPIA in quanto è più accentuato lo squilibrio di poteri fra interessato e titolare del trattamento, nel senso che il singolo può non disporre del potere di acconsentire, o di opporsi, con facilità al trattamento dei propri dati, né può talora con facilità esercitare i propri diritti. La categoria degli interessati vulnerabili comprende anche i minori, che. si può ritenere non siano in grado di opporsi o acconsentire, in modo consapevole e ragionato, al trattamento dei propri dati personali, i dipendenti, quei segmenti di popolazione particolarmente vulnerabile e meritevole di specifica tutela (soggetti con patologie psichiatriche, richiedenti asilo, anziani, pazienti) e ogni interessato per il quale si possa identificare una situazione di disequilibrio nel rapporto con il rispettivo titolare del trattamento. 8. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative, come l'associazione fra tecniche dattiloscopiche e riconoscimento del volto per migliorare il controllo degli accessi fisici, e così via. Il regolamento chiarisce (art. 35, paragrafo 1, e considerando 89 e 91) che l'utilizzo di una nuova tecnologia, definito “in conformità con il grado di conoscenze tecnologiche raggiunto” (considerando 91), può comportare l'obbligo di condurre una DPIA, in quanto il ricorso a una nuova tecnologia può generare forme innovative di raccolta e utilizzo dei dati cui può associarsi un rischio elevato per i diritti e le libertà delle persone. Nei fatti, le conseguenze sul piano individuale e sociale del ricorso a una nuova tecnologia sono talora ignote. La DPIA aiuterà il titolare a comprendere e gestire tali rischi. Per esempio, alcune applicazioni legate all'“Internet delle cose” potrebbero avere impatti significativi sulla vita privata e le abitudini delle persone, e, quindi, necessitano di una DPIA. 9. Tutti quei trattamenti che, di per sé, “impediscono [agli interessati] di esercitare un diritto o di avvalersi di un servizio o di un contratto” (art. 22 e considerando 91). Ciò comprende i trattamenti finalizzati a consentire, modificare o negare l'accesso degli interessati a un servizio o la stipulazione di un contratto. Si pensi, a titolo di esempio, allo screening dei clienti di una banca attraverso i dati registrati in una centrale rischi al fine di stabilire se ammetterli o meno a un finanziamento.”

Con l'allegato 1 al provv. n. 467 dell'11 ottobre 2018 [doc. web n. 9058979] (pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018), il Garante italiano ha elencato tipologie di trattamenti, soggetti al meccanismo di coerenza (quindi in linea di principio transfrontalieri intra-UE, ma l'elenco può considerarsi riferibile, per via analogico-interpretativa, anche a trattamenti solo nazionali), da sottoporre a valutazione d'impatto. Si tratta dei seguenti casi:

1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”.

2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull'interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l'utilizzo di dati registrati in una centrale rischi).

3. Trattamenti che prevedono un utilizzo sistematico di dati per l'osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell'informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d'uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza ecc.

4. Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull'esercizio di un diritto fondamentale (quali i dati sull'ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell'interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).

5. Trattamenti effettuati nell'ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell'attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).

6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).

7. Trattamenti effettuati attraverso l'uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01.

8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.

9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l'incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).

10. Trattamenti di categorie particolari di dati ai sensi dell'art. 9 oppure di dati relativi a condanne penali e a reati di cui all'art. 10 interconnessi con altri dati personali raccolti per finalità diverse.

11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell'attività di trattamento.

12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell'attività di trattamento.

Va detto che sia i criteri stabiliti nelle Linee guida del 2017 dal Gruppo di Lavoro Articolo 29, fatte proprie dal Comitato Europeo della Protezione dei Dati, sia gli scenari elencati dalle autorità di controllo nelle loro decisioni adottate a norma dell'art. 35.4 del Regolamento potranno essere integrati, estesi o perfino motivatamente smentiti e disapplicati nel caso di specie, a valle di una compiuta analisi dei rischi e in ossequio al principio di responsabilizzazione (accountability), da parte del titolare. L'individuazione delle casistiche di trattamenti rischiosi, da parte del titolare, dovrebbe comunque tenere sempre conto, sia nella fase pre-DPIA sia nell'approfondimento svolto nel corso di una valutazione d'impatto vera e propria, sia del rischio patologico sia del rischio fisiologico comportati da quella specifica attività di trattamento di dati personali (si veda per questo anche il paragrafo successivo). Nelle menzionate Linee guida del 2017 si focalizza l'attenzione, purtroppo, quasi solo sull'analisi dei rischi incombenti sui dati, anziché sull'analisi dei rischi per i diritti e le libertà delle persone fisiche. E dire che la ratio dell'art. 35 del Regolamento è chiarissima: tale articolo guarda agli impatti giuridico-umanistici sulle persone fisiche e non prevede certamente solo una valutazione dei rischi di “violazione dei dati” che un trattamento può eventualmente presentare.

È cruciale, in questa ottica, ritornare al significato profondo della “protezione dei dati personali”, che non equivale a “sicurezza dei dati personali”: “proteggere i dati personali” vuol dire proteggere un elemento essenziale dell'essere umano, cioè va inteso – e così è palesemente inteso dal legislatore europeo sin dai Trattati – come diritto fondamentale strumentale alla tutela di altri diritti e libertà fondamentali.

Ma parlare di rischi è uguale a parlare di rischi elevati? Ovviamente no. È infatti chiaro che tutti i trattamenti di dati presentano una percentuale di rischio materiale o immateriale, ma solo alcuni trattamenti presentano rischi considerabili “elevati” al punto tale da richiedere una valutazione di impatto ex art. 35.1. In questo senso una lettura attenta del considerando 76 chiarisce che probabilità e gravità del rischio per i diritti e le libertà dell'interessato vadano stimati attraverso una «valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato». Per decidere se effettuare o meno la DPIA, è essenziale aver valutato natura, oggetto, contesto e finalità del trattamento e aver determinato che effettivamente il trattamento «può presentare un rischio elevato per i diritti e le libertà delle persone fisiche». Quindi, è possibile derivare un criterio generale di scelta rispetto alle situazioni in cui è necessario effettuare la valutazione di impatto, e cioè che essa debba essere realizzata per tutti quei trattamenti in cui i rischi indicati al considerando 75, in re ipsa idonei a soddisfare il requisito di “gravità” a parere di chi scrive, risultino essere anche “probabili” a seguito della «valutazione oggettiva» di cui al considerando 76. Più problematica sarà la selezione di rischi non rientranti nella quasi-tipizzazione operata al considerando 75, ma comunque rilevanti in termini di gravità e probabilità, a seconda dei contesti, dei soggetti, dei tipi di dati e di trattamenti coinvolti (Bolognini, Pelino, Bistolfi).

Soppesare gravità e probabilità di rischi, e perfino, prima ancora, individuare le minacce realisticamente pertinenti a una specifica attività di trattamento di dati personali può rivelarsi estremamente difficile. Esistono numerose metodologie riferite al calcolo di severità e verosimiglianza di rischi di violazione dei dati (si pensi a quanto mutuabile dalla famiglia di standard ISO/IEC 27001, ex multis) ma ben poco è reperibile quanto alle valutazioni relative ai rischi per i diritti e le libertà delle persone fisiche. Il documento di lavoro ENISA “Recommendations for a methodology of the assessment of severity of personal data breaches” del dicembre 2013 – immaginato per aiutare a valutare, ex post e non ex ante, la gravità dei rischi per i diritti e le libertà in seguito a una violazione di dati, in particolare ispirandosi, allora, alla nuova disciplina del data breach nel settore delle comunicazioni elettroniche introdotta dalla dir. 2009/136/CE – contiene senz'altro interessanti suggerimenti metodologici per l'analisi della severità delle violazioni, ma sembra comunque arenarsi per taluni aspetti tra le sabbie della soggettività di giudizio (per esempio, il significato di alcuni dei termini utilizzati come criteri di misura, in quel documento, è interpretabile soggettivamente e non ancorato ad inequivocabile oggettività). Inoltre, il perimetro di focus del suddetto documento riguarda solo i rischi patologici, conseguenti cioè a violazione, e non quelli intrinseci/fisiologici comportati dal trattamento in sé, privo di violazioni: gli aspetti intrinseci sono valorizzati come elementi di contesto, aggravanti o attenuanti, e non come elementi autonomi di minaccia.

Ciò che non rintracciamo nel documento di lavoro ENISA del 2013 e che fatichiamo a reperire in generale, almeno in un'ottica robusta, oggettivabile e scientificamente difendibile, nel panorama di metodologie di analisi dei rischi disponibili a livello internazionale, è una metrica affidabile per la valutazione delle probabilità. È vero che alcuni criteri possono considerarsi universalmente validi (esempio: se esiste una correlazione diretta tra l'attività presa in esame ed il verificarsi del danno ipotizzato), ma la difficoltà di “pesare l'anima” immateriale della minaccia per i diritti e le libertà delle persone, a seconda degli innumerevoli possibili frangenti e scenari da considerare in concreto, rende pressoché impercorribile una generalizzazione di criteri metodologici a priori. Mancano statistiche affidabili, scientificamente dimostrate, che possano calzare per casi i più vari e disparati.

Una strada, se non risolutiva almeno responsabile e seria, dimostrabile anche in caso di controlli, potrebbe essere quella della co-creazione – con la partecipazione diretta degli interessati a cui si riferiscono i dati, per ipotesi mediante focus group – della metrica di valutazione del rischio per i diritti e le libertà delle persone fisiche, a cominciare dalla selezione, a monte, delle minacce da considerare. La sensibilità “solitaria” del titolare del trattamento potrebbe, così, fare leva sulle sensibilità collettive degli interessati stessi, e aprirsi ad una riflessione condivisa per individuare insieme i possibili nocumenti derivanti dalle attività di trattamento di dati (fisiologiche o patologiche), e di conseguenza per trovare un consenso sui criteri di valutazione delle gravità e delle probabilità del rischio. Questo metodo, mutuabile dalle migliori pratiche di ricerca scientifica e certamente più gravoso in termini di risorse da dedicare, potrebbe rivelarsi prezioso quantomeno nello svolgimento delle vere e proprie valutazioni d'impatto ex art. 35 del Regolamento, più approfondite rispetto alle analisi generali da svolgere ex art. 32.

I contenuti della valutazione di impatto 

Posto che nell'art. 35 non si rintraccia una indicazione puntuale ed esaustiva di tutti gli elementi che devono essere inseriti nella valutazione di impatto, l'art. 35.7 ne individua comunque il contenuto minimo. Questo si sostanzia in «a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l'interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati [...]; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione».

La valutazione di impatto, dunque, deve permettere di far comprendere quale sia stata, a monte, la riflessione che ha condotto, a valle, all'esecuzione della valutazione stessa. Simile approccio è plausibilmente riferibile a quanto detto sul principio di accountability. Infatti, si ricorda che la responsabilizzazione non si sostanzia solo nel rispetto dei principi di cui all'art. 5.1, ma anche nella capacità del titolare di dimostrare di averli osservati. Quindi, la responsabilizzazione passa sia per l'adozione da parte del titolare di «misure adeguate ed efficaci» (nel caso di specie, la scelta di effettuare una valutazione di impatto), sia per la capacità di dimostrare «la conformità delle attività di trattamento» con le disposizioni del Regolamento. Ciò comprende, inevitabilmente, anche la dimostrazione dell'«efficacia delle misure»: il contenuto minimo del DPIA è volto proprio a rendere effettiva la verificabilità della responsabilizzazione del titolare. Esso, infatti, contenere almeno gli elementi necessari a contestualizzare il trattamento (punti a) e b)) che ne esplicitano «la natura, l'oggetto, il contesto e le finalità del trattamento» (cfr. art. 35.1) al fine di poter valutare la probabilità e gravità del rischio di cui al punto c), per poi intraprendere le misure di cui al punto d).

Con riferimento alla valutazione dei rischi di cui al punto c), giova infine sottolineare come non si possa sposare un approccio meramente ingegneristico, tipico delle analisi dei rischi sulla sicurezza informatica, poiché non di sole minacce tecnologiche si parla nella DPIA; viceversa, nemmeno l'esempio dell'analisi dei rischi caratteristica dei Modelli exd.lgs. n. 231/2001, basata sull'individuazione dei possibili reati-presupposto connessi all'attività esercitata, sembra essere d'aiuto: nel caso della DPIA, sarà necessario integrare l'analisi dei rischi tecnici con una più “umanistica” mappatura delle possibili conseguenze negative del trattamento di dati sui diritti e le libertà fondamentali dell'individuo (es. discriminazione del lavoratore rispetto ai colleghi, lesione della dignità professionale della persona, ecc.). Una “tabella” di rischi semi-tipizzati e collegati a casistiche frequenti e pratiche, in tal senso, potrebbe essere di grande aiuto se proposta e aggiornata nel tempo dal comitato con l'aiuto delle DPA nazionali (Bolognini, Pelino, Bistolfi).

È in ogni modo indispensabile che una seria analisi dei rischi-presupposto e, poi, una compiuta valutazione d'impatto, dopo avere smarcato la due diligence di conformità normativa dello specifico trattamento, comprendano due fasi di analisi:

1. Una prima fase, nella quale si analizzeranno i possibili rischi “patologici” incombenti sui dati personali oggetto di trattamento, cioè in sostanza i gradi di severità e di probabilità che si verifichino “violazioni dei dati” come definite all'art. 4.12 del Regolamento (“la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”);

2. Una seconda fase, in cui valutare i rischi per i diritti e le libertà delle persone fisiche comportati:

2.a) dal trattamento in sé, implicitamente anche in assenza di violazioni dei dati (situazione fisiologica);

2.b) dalla violazione dei dati (situazione patologica).

Solo a valle di questa duplice valutazione operata nella seconda fase, e comprendente non solo la casistica patologica di data breach ma anche e soprattutto, per la ratio degli artt. 5, 32, 35 del Regolamento, la carica intrinseca di potenziale impatto negativo sui diritti e le libertà delle persone di ogni specifico trattamento in sé, sarà possibile andare a individuare misure di mitigazione più o meno mirate ed efficaci.

Per tradurre la questione in una metafora semplice, pensiamo a una bottiglia di vino invece che a un trattamento di dati personali. Il trattamento di dati è la bottiglia di vino. Per continuare con la metafora, ipotizziamo che i rischi per i diritti e le libertà delle persone fisiche siano invece i rischi per la salute di chi beve il vino. In via preliminare, si valuterà la conformità normativa della confezione del vino e del vino stesso, che non contenga sostanze vietate e sia commerciabile legalmente (= il trattamento di dati personali è conforme al Regolamento).

Nella prima fase di vera analisi del rischio, si analizzeranno quindi probabilità e severità di possibili problemi patologici: rischio che la bottiglia sia troppo fragile e si rompa tra le mani del consumatore; rischio che il vino all'interno venga contaminato o vada a male per cattiva conservazione ecc. (= analisi dei rischi di violazione dei dati).

Nella seconda fase di analisi, si considererà il vino (lecito e commerciabile, ma pur sempre bevanda alcoolica = trattamento che in sé può comportare rischi per i diritti e le libertà delle persone fisiche e: 2.a) se ne valuteranno i potenziali effetti collaterali negativi sulla salute di chi lo beve (=sui suoi diritti e le sue libertà), impliciti e derivanti dalla natura stessa del vino, che è ben conservato e in assenza di violazioni o incidenti (= trattamento senza data breach ma comunque potenzialmente dannoso); 2.b) se ne valuteranno quindi i potenziali effetti negativi sulla salute di chi lo beve nel caso in cui qualcosa vada storto accidentalmente o per attacco intenzionale (il vino va a male perché conservato erroneamente, si rompe la bottiglia di vetro, qualcuno lo contamina ecc.). Ecco che, solo mettendo insieme i risultati di fase 2.a) (rischi fisiologici e intrinseci del trattamento pur in assenza di violazioni/deviazioni) e 2.b) (rischi patologici del trattamento), si potranno individuare i livelli di rischio e ricercarne le misure di mitigazione, che naturalmente non saranno solo volte a prevenire e minimizzare lo scenario patologico di violazioni ma anche, anzi a maggior ragione per la ratio del Regolamento, i potenziali effetti collaterali fisiologici del vino distribuito e bevuto (cioè del trattamento di dati in sé).

Singola valutazione di impatto per trattamenti simili: unico titolare o titolari diversi 

Quando lo stesso titolare del trattamento svolge trattamenti simili è sufficiente una singola valutazione ai sensi dell'art. 35.1 poiché è ragionevole aspettarsi che questi, avendo caratteristiche pressoché analoghe, comportino i medesimi “rischi elevati”. Tuttavia, il considerando 92 estende lo svolgimento di una sola valutazione di impatto anche a quei trattamenti aventi stessa natura, oggetto, finalità e contesto, che vengano effettuati da titolari del trattamento diversi su piattaforme comuni – ad es. autorità pubbliche o enti pubblici che istituiscono «un'applicazione o una piattaforma di trattamento comuni» o diversi titolari che progettano di introdurre un'applicazione o un ambiente di trattamento comuni in un settore o segmento industriale o per una attività trasversale ampiamente utilizzata. La ratio di questo “accorpamento” di valutazioni è soprattutto legata al fattore dell'efficacia e dell'efficienza, in termini economici e di tempistiche, poiché richiedere singole valutazioni per trattamenti pressoché identici, ancorché effettuati da titolari del trattamento diversi, sarebbe effettivamente inutile.

Una simile previsione appare importante alla luce dei compiti attribuiti al DPO dall'art. 39: nell'esecuzione della sorveglianza sullo svolgimento della valutazione di impatto ex art. 39.1.c) è lecito aspettarsi che il responsabile della protezione dei dati si premuri anche di ricercare i DPIA già effettuati per trattamenti simili a quello svolto dalla sua organizzazione, rivolti allo stesso settore o attività di riferimento. Simile approccio sarebbe coerente anche con quanto stabilito nell'art. 35.2, cioè che il titolare del trattamento debba consultare il responsabile della protezione dei dati. Quest'ultimo, poi, potrebbe anche avvalersi della consultazione dell'autorità di controllo ai sensi dell'art. 39.1.e) al fine, ad esempio, di conoscere gli esiti delle valutazioni di trattamenti simili a quello offerto dalla sua organizzazione se essi sono stati notificati ai sensi dell'art. 36.1 (Bolognini, Pelino, Bistolfi).

Le «misure previste per affrontare i rischi»: codici di condotta, certificazioni e altro

Il considerando 77 rileva che, per facilitare «la messa in atto di opportune misure e per dimostrare la conformità da parte del titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l'individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l'individuazione di migliori prassi per attenuare il rischio», potrebbero essere utilizzati diversi strumenti. Innanzitutto i codici di condotta approvati, dal momento che l'adesione da parte del titolare può ragionevolmente ridurre i rischi derivanti dal trattamento. Qualora i predetti rischi possano essere elevati, infatti, l'adozione delle misure previste dai codici di condotta cui si aderisce può ridurre la probabilità che il danno si verifichi, con conseguente abbassamento del livello di rischio individuato mediante la valutazione di impatto (cfr. art. 35.8).

In secondo luogo, anche le certificazioni possono avere simile effetto di riduzione del rischio dal momento che, se il titolare (o il responsabile) ha ottenuto il riconoscimento di conformità è evidentemente in linea con le disposizioni del Regolamento. La piena aderenza alla normativa, peraltro, contribuisce a ridurre il livello di rischio, anche in situazioni di assenza di certificazione.

È possibile affermare, dunque, che tra le misure di cui all'art. 35.7.d) rientrano a pieno titolo anche l'adesione a codici di condotta e l'ottenimento della certificazione, in quanto entrambi gli strumenti sono in grado di «garantire la protezione dei dati personali e dimostrare la conformità» al Regolamento.

In ultimo, tra gli strumenti per facilitare «la messa in atto di opportune misure [...] e l'individuazione di migliori prassi per attenuare il rischio», il considerando 77 include anche le linee guida fornite dal comitato e le indicazioni fornite da un responsabile della protezione dei dati.

L'art. 35.7.d) include tra gli elementi da inserire nella valutazione di impatto l'insieme delle «misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento». Quindi, pur se l'adesione a codici di condotta e l'ottenimento delle certificazioni possono essere ricompresi tra le misure di cui sopra in quanto costituiscono una forma di prevenzione del verificarsi del danno, riducendo la probabilità del rischio, vi sono anche altri meccanismi valutabili, come l'adozione di misure di sicurezza di cui all'art. 32. Un esempio, su tutti, è quello della pseudonimizzazione o della cifratura, che ovviamente riducono le possibilità di identificazione dell'interessato, attenuando così il rischio che i suoi diritti o le sue libertà fondamentali siano lesi non solo a seguito di una violazione dei dati, ma anche durante il medesimo trattamento da parte di personale autorizzato. Si pensi al trattamento di dati particolarmente sensibili relativi ad una patologia molto rara o grave, effettuati legittimamente da un'impresa assicurativa: il fatto che sia utilizzato uno pseudonimo per identificare il cliente fa sì che non venga compromessa la dignità dell'individuo, neanche durante i trattamenti effettuati dai diversi impiegati, ancorché autorizzati.

Un'ultima precisazione sulle misure di cui all'art. 35.7.d) riguarda le logiche temporali della loro individuazione. Esse andrebbero determinate anche prima di effettuare la valutazione di impatto dal momento che costituiscono uno degli oggetti della valutazione stessa. Tuttavia, la DPIA ha proprio la funzione di coadiuvare il titolare nella scelta di siffatte misure, in quanto il suo esito può determinarne una revisione in modo da soddisfare i requisiti del Regolamento alla luce del caso concreto e dimostrarne l'idoneità, in applicazione del principio di responsabilizzazione di cui all'art. 5.2 – cfr. anche considerando 84 (Bolognini, Pelino, Bistolfi).

Il ruolo delle DPA e del comitato

Spetta al comitato «pubblicare linee guida sui trattamenti che si ritiene improbabile possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e indicare quali misure possono essere sufficienti in tali casi per far fronte a tale rischio» (cfr. considerando 77). La ragione dell'attribuzione al comitato di simile ruolo e, più in generale, la necessità che siano definite delle linee guida per i trattamenti a rischio elevato è riconducibile alla necessità di rendere omogenea l'applicazione del Regolamento nei singoli Stati membri, soprattutto se si considera che uno dei compiti delle autorità di controllo nazionali ex art. 35.4 è quello di redigere e rendere pubblico «un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati» e anche un elenco simile per le tipologie di trattamenti «per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati». Essendo dunque rimesso alle autorità nazionali tale potere ex art. 57.1.k) il rischio sarebbe quello di ottenere tanti elenchi diversi quanti sono gli Stati membri.

In realtà anche se linee guida del comitato (che ha fatto proprie le Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 adottate il 4 aprile 2017, versione successivamente emendata e adottata il 4 ottobre 2017 del Gruppo di Lavoro Articolo 29) hanno la funzione di orientare e rendere omogenea la redazione degli elenchi in questione ex ante, l'intervento del comitato si realizza anche ex post rispetto all'adozione degli elenchi, che infatti è soggetta a comunicazione da parte della DPA nazionale ex art. 64.1.a). Quest'ultima dovrà tenere «nella massima considerazione il parere del comitato e, entro due settimane dal ricevimento del parere» dovrà comunicare «al presidente del comitato se intende mantenere o modificare il progetto di decisione e, se del caso, il progetto di decisione modificato» (cfr. art. 64.7). Quindi, pur non essendovi un vincolo che sottopone l'adozione degli elenchi all'assenso del comitato, il fatto che il parere sia da tenere «nella massima considerazione» è indice della sua importanza in termini di legittimità amministrativa delle motivazioni dei provvedimenti in questione emessi dalle DPA, nonché per assicurare ancora una volta che ciascuno Stato membro adotti approcci quantomeno somiglianti a quelli degli altri Stati. Il principio di coerenza, in particolare, deve essere rispettato concretamente anche dalle DPA nazionali che intendono adottare «elenchi comprendono attività di trattamento finalizzate all'offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione» (cfr. art. 35.6). È evidente, dopotutto, che in ambo i casi vi sia la necessità di garantire una logica comune nell'applicazione del Regolamento all'interno degli Stati membri, per evitare di compromettere uno dei principi cardine dell'intero impianto normativo in materia di protezione dei dati, cioè la libera circolazione degli stessi. Il Regolamento, come ricorda il considerando 10, è stato proprio immaginato per assicurare la libera circolazione dei dati personali all'interno dell'Unione, garantendo un elevato livello di protezione dei dati personali attraverso una normativa coerente e omogenea. L'armonizzazione coerente rende più facile l'applicazione delle regole a livello europeo, anche in materia di DPIA. A questo proposito è interessante, per l'interprete e sempre nell'ottica dell'agevolazione negli adempimenti, la scelta del legislatore europeo di prevedere che le DPA nazionali possano stilare – e debbano notificare al comitato – non solo elenchi positivi di trattamenti che esigano lo svolgimento della valutazione d'impatto – come ha fatto il nostro Garante con il Provvedimento n. 467 dell'11 ottobre 2018 [doc. web n. 9058979] (pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018) – ma anche, ex art. 35.5, liste negative di casi d'esclusione in via generale della DPIA (peraltro probabilmente più efficaci e chiarificatori, a parere di chi scrive, rispetto agli elenchi positivi): segnale di un approccio semplificatore, di stampo liberale, che sarà indubbiamente apprezzato dai titolari del trattamento sia nel settore pubblico sia in quello privato (Bolognini, Pelino, Bistolfi).

Il valore della valutazione di impatto: espressione dei principi di data protection-by-design e by-default

A conclusione del quadro delineato sull'effettuazione della DPIA e sui suoi possibili risvolti (consultazione preventiva), è possibile evidenziarne il legame con i principi di data protection-by-design e by-default. Infatti, la valutazione di impatto sembra strumento utile per i titolari del trattamento non soltanto al fine di rispettare il principio di responsabilizzazione di cui all'art. 5.2, ma anche per affrontare gli aspetti di protezione dei dati prima che il prodotto o il servizio vengano messi sul mercato. Ciò fa sì che si generino vantaggi sia per gli interessati sia per le filiere di soggetti attivi del trattamento di dati (titolari, responsabili, subresponsabili), poiché la DPIA consente di ridurre l'incertezza giuridica rispetto ai rischi. Non è un caso che i meccanismi di certificazione si leghino profondamente all'espletamento delle procedure di valutazione di impatto e appare lecito aspettarsi, in tale ottica, che la certificazione possa diventare proprio uno strumento per convalidare e dimostrare all'esterno – senza dovere rendere di pubblico dominio inutili dettagli della DPIA – l'aderenza alla normativa da parte di quei titolari che hanno effettuato la DPIA con esiti positivi – cioè avendo verificato che le misure messe in atto grazie alla tecnologia e alle risorse economiche disponibili escludono la presenza di rischi elevati – o laddove, ancorché il titolare abbia dovuto consultare preventivamente la DPA, il trattamento sia stato poi adeguato a quanto espresso dall'autorità nazionale nel suo parere, attuandone tutte le precauzioni indicate (Bolognini, Pelino, Bistolfi).