Vi possono essere metodologie diverse, ma i criteri devono essere gli stessi.
Il regolamento fissa le caratteristiche basilari di una DPIA all’art. 35, paragrafo 7, e nei considerando 84 e 90:
• “una descrizione [sistematica] dei trattamenti previsti e delle finalità del trattamento”;
• “una valutazione della necessità e proporzionalità dei trattamenti”;
• “una valutazione dei rischi per i diritti e le libertà degli interessati”;
• “le misure previste per:
o “affrontare i rischi”;
o “dimostrare la conformità con il presente regolamento”.
Il rispetto di un codice di condotta (ai sensi dell’art. 40) deve essere tenuto in considerazione (ex art. 35, paragrafo 8) nel valutare l’impatto di un trattamento. È un elemento che può risultare utile a dimostrare la scelta o l’implementazione di misure adeguate, purché il codice di condotta sia idoneo con riguardo allo specifico trattamento. Si dovrebbe tenere conto anche di eventuali certificazioni, sigilli e marchi finalizzati a dimostrare che determinati trattamenti da parte di titolari e responsabili rispettano il regolamento (art. 42) nonché di norme vincolanti d’impresa (BCR).
Tutti i requisiti pertinenti fissati nel regolamento offrono uno schema di ampio respiro al fine della progettazione e della conduzione di una DPIA. La realizzazione di tale DPIA sarà guidata dai requisiti fissati nel regolamento integrati da linee-direttrici di natura più concreta. L’implementazione della valutazione di impatto è, dunque, un processo scalabile, nel senso che anche un titolare di piccole dimensioni può essere in grado di progettare e attuare una DPIA assolutamente idonea ai rispettivi trattamenti.
Nel considerando 90 del regolamento sono elencati alcuni elementi della DPIA che risultano sovrapponibili a elementi ben noti di schemi esistenti per la gestione del rischio (per esempio, ISO 31000). In termini di gestione del rischio, una DPIA mira a “gestire i rischi” per i diritti e le libertà delle persone fisiche attraverso i processi di seguito indicati:
• Definizione del contesto: “tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento e delle fonti di rischio”;
• Valutazione dei rischi: “valutare la particolare probabilità e gravità del rischio elevato”;
• Gestione dei rischi: “attenuare tale rischio” “assicurando la protezione dei dati personali” e “dimostrando la conformità al presente regolamento”.
Si osservi che la DPIA, in base al regolamento, rappresenta uno strumento finalizzato alla gestione dei rischi per i diritti degli interessati e, conseguentemente, è informata a tale prospettiva così come avviene in altri campi (per esempio, la sicurezza sociale); viceversa, la gestione del rischio così come praticata in altri ambiti (per esempio, la sicurezza delle informazioni) è focalizzata sui rischi per l’organismo stesso.
Il regolamento dà ai titolari un margine di flessibilità nello stabilire la struttura e la forma della valutazione di impatto in modo da consentirne l’inclusione nelle prassi lavorative in essere. Vi sono già oggi alcuni schemi definiti nell’Ue e a livello mondiale che tengono conto degli elementi descritti al considerando 90; tuttavia, qualunque sia la forma prescelta, la DPIA deve configurare una vera valutazione dei rischi e consentire ai titolari di adottare misure per affrontare tali rischi.
Si possono utilizzare varie metodologie (si veda l’Allegato 1, che contiene esempi di metodologie per la valutazione di impatto sulla protezione dei dati e sulla privacy) per contribuire all’attuazione dei requisiti basilari fissati nel regolamento.
Per consentire la coesistenza di approcci diversificati quali quelli sopra descritti, e contemporaneamente permettere ai titolari di rispettare le disposizioni del regolamento, sono stati individuati alcuni criteri condivisi (Allegato 2). Tali criteri illustrano i requisiti basilari previsti dal regolamento, ma lasciano un margine sufficiente per il ricorso a differenti modalità di implementazione. I criteri sono utilizzabili per dimostrare che una specifica metodologia di DPIA è conforme agli standard fissati dal regolamento. Spetta al titolare selezionare la metodologia, che comunque deve rispettare i criteri indicati nell’Allegato 2.
Il WP29 promuove la definizione di schemi di DPIA settoriali che possano, quindi, trarre beneficio dalle specifiche conoscenze settoriali così da consentire alla DPIA di gestire le specificità di una determinata categoria di trattamenti (per esempio: categorie particolari di dati, beni societari, impatti potenziali, minacce, misure idonee). Ciò significa che la DPIA potrà affrontare le problematiche emergenti in un determinato settore economico, ovvero legate all’impiego di una specifica tecnologia o allo svolgimento di una particolare tipologia di trattamenti.
Infine, ove necessario, “il titolare procede a un riesame per valutare se il trattamento sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento” (art. 35, paragrafo 11).