È tenuto a condurre la DPIA il titolare, insieme al RPD e al responsabile (o ai responsabili) del trattamento.
Spetta al titolare garantire l’effettuazione della DPIA (art. 35, paragrafo 2). La conduzione materiale della DPIA può essere affidata a un altro soggetto, interno o esterno all’organismo; tuttavia, la responsabilità ultima dell’adempimento ricade sul titolare del trattamento.
Il titolare deve consultarsi con il responsabile della protezione dei dati (RPD/DPO), ove designato (art. 35, paragrafo 2); tale consultazione e le conseguenti decisioni assunte dal titolare devono essere documentate nell’ambito della DPIA. Il RPD è chiamato anche a monitorare lo svolgimento della DPIA (art. 39, paragrafo 1, lettera c) ). Indicazioni ulteriori sono rinvenibili nelle linee-guida del WP29 sul responsabile della protezione dei dati (16/EN WP243).
Se il trattamento è svolto, in tutto o in parte, da un responsabile, quest’ultimo deve assistere il titolare nella conduzione della DPIA fornendo ogni informazione necessaria conformemente con l’art. 28, paragrafo 3, lettera f).
Il titolare “raccoglie le opinioni degli interessati o dei loro rappresentanti” “se del caso” (art. 35, paragrafo 9). A giudizio del WP29,
• per la raccolta delle opinioni in oggetto si possono individuare molteplici modalità, in rapporto al contesto: per esempio, uno studio generico relativo a finalità e mezzi del trattamento; un quesito rivolto ai rappresentanti del personale; un questionario inviato ai futuri clienti del titolare Il titolare dovrà aver cura di accertarsi dell’esistenza di una base legale per il trattamento di dati personali eventualmente connesso alla raccolta di tali opinioni. Occorre rilevare, tuttavia, che il consenso al trattamento in questione non rappresenta ovviamente una modalità idonea per raccogliere le opinioni degli interessati;
• qualora la decisione assunta in ultima analisi dal titolare si discosti dall’opinione degli interessati, è bene che il titolare documenti le motivazioni che hanno condotto alla prosecuzione o meno del progetto;
• il titolare dovrebbe documentare anche le motivazioni della mancata consultazione degli interessati, qualora decida che quest’ultima non sia opportuna – per esempio, perché potrebbe pregiudicare la riservatezza dei piani aziendali, oppure sarebbe sproporzionata o impraticabile.
Infine, una buona prassi consiste nel definire e documentare eventuali ulteriori ruoli e responsabilità in rapporto alle politiche, ai processi e alle disposizioni interne all’organismo – per esempio:
• se specifiche realtà aziendali propongono di condurre una DPIA, dovrebbero anche fornire input ai fini di tale DPIA e partecipare al relativo processo di validazione;
• se del caso, si raccomanda di consultare esperti indipendenti provenienti da diversi ambiti disciplinari (legale, tecnologico, sicurezza, sociologico, etico, ecc.);
• ruoli e responsabilità dei responsabili di trattamento devono essere fissati in strumenti contrattuali, e la DPIA dovrebbe essere condotta con il supporto del responsabile, tenendo conto della natura del trattamento e delle informazioni di cui il responsabile dispone (art. 28, comma 3, lettera f) );
• il responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, CISO), ove designato, nonché il RPD potrebbero proporre lo svolgimento di una DPIA in rapporto a uno specifico trattamento, collaborare con i soggetti interessati al fine di mettere a punto la relativa metodologia, definire la qualità del processo di valutazione del rischio e l’accettabilità del livello di rischio residuale, e definire un corpus di conoscenze specifiche del contesto operativo del titolare;
• ove designato, il responsabile della sicurezza dei sistemi informativi e/o l’ufficio o divisione IT dovrebbero fornire supporto al titolare e potrebbero proporre di condurre una DPIA in relazione a uno specifico trattamento, con riguardo alle esigenze di sicurezza o operative.