L’attività di protezione dei dati può benissimo essere paragonata a quella di un sarto che deve cucire addosso ad ogni realtà aziendale l’abito migliore per l’occasione. In questo non semplice lavoro, devono essere prese in considerazione non soltanto le misure per così dire oggettive dell’impresa o ente che dovrà essere vestito, ma anche numerosi elementi soggettivi a volte di non semplice lettura. Non è infatti possibile effettuare a priori una valutazione dell’effettivo rischio cui sono sottoposti i dati di un’azienda se non si tenga conto non solo della loro tipologia e quantità, ma anche dei tipi di trattamento, della profilazione, del numero di soggetti che vi possono venire in contatto e della categoria dei dati stessi, se sensibili, relativi a minori e così via. Un quadro talvolta non semplice su cui operare, ed in cui si deve tenere conto lo stato dell’arte attuale della protezione, le possibili soluzioni tecnologiche e operative che mette a disposizione il mercato, ma anche le strutture e dimensioni aziendali su cui si deve intervenire, nonché i costi da affrontare e che l’imprenditore dovrà sostenere.

Ricordiamo infatti che i principi di accountability e privacy by design, lasciano i Titolari del trattamento sufficientemente liberi di poter operare nel rispetto anche delle loro risorse economiche. 

In ogni caso è preciso dovere, non solo di diligenza, effettuare una DPIA prima di decidere quali misure e strumenti siano da adottare. Ed una corretta DPIA non può prescindere dalla considerazione che i rischi da valutare sono, in primis, non quelli che corre il Titolare, ma quelli cui sono esposti i dati degli Interessati, i loro diritti e l’esercizio degli stessi.

L’articolo 35 del GDPR pone direttamente a carico del Titolare l’attività di la valutazione di impatto. Ovviamente, in questa attività dovrà essere supportato a livello tecnico da parte di personale qualificato e dotato delle dovute competenze tecniche, mediante risorse esterne o interne all’azienda, ma sarebbe opportuno, laddove intendesse nominarlo, contare già su un DPO che possa assisterlo nell’indicare le misure più opportune e, già da questa delicata fase, prevedere quelli che potranno essere gli interventi in caso di data breach o altre problematiche nella fase di trattamento successiva. Ovviamente il supporto dei responsabili dell’area IT, di chi è deputato alla sicurezza dei sistemi informativi, appare indispensabile.

Tra le possibili modalità e step per eseguire una DPIA si può indicare la seguente metodologia operativa che divide l’operazione in cinque fasi:

1. mappatura dei trattamenti effettuati dal Titolare, che tenga in debito conto della tipologia dei dati trattati, delle categorie di interessati, nonché delle finalità del trattamento;
2. valutazione del rischio privacy sui trattamenti mappati in Fase 1, tenendo conto del contesto del trattamento e delle tecnologie sottostanti;
3. conduzione della DPIA, per i soli trattamenti individuati come potenzialmente rischiosi;
4. notifica al Garante dei trattamenti risultati come ad alto rischio a seguito della DPIA;
5. registro dei rischi privacy, al fine di mantenere un elenco aggiornato e periodicamente adattabile delle valutazioni effettuate, incluse le DPIA.