Il coinvolgimento degli interessati nella conduzione di una DPIA (Data Protection Impact Assessment), o valutazione d’impatto, si riassume in cinque punti: essere più trasparente nei confronti degli interessati; creare maggior consapevolezza negli interessati stessi; contribuire ad alimentare la “cultura della protezione dei dati” negli interessati e nella sua stessa organizzazione; accrescere la fiducia degli interessati verso il titolare medesimo; creare un percorso virtuoso che possa fermamente sostenere che il titolare abbia applicato il principio di responsabilizzazione.
L’approccio basato sulla gestione dei rischi è entrato e si è ormai consolidato nelle modalità di comportamento delle persone e delle organizzazioni, siano esse private o pubbliche. Ne sono chiari e lapalissiani esempi la volontà di predisporre, parallelamente al bilancio “economico”, anche quello “sociale”, oppure numerose norme come quelle sulla responsabilità amministrativa degli enti, sulla salute e sicurezza sul lavoro, sulla tutela dell’ambiente o sulla protezione dei dati personali. La particolare peculiarità di quest’ultima categoria, che la distingue sostanzialmente da quasi tutte le altre (v.g. il TUSL prevede espressamente il coinvolgimento dei lavoratori e dei loro rappresentanti nella conduzione del sistema di gestione della sicurezza sul lavoro), è indicata dall’art. 35, par. 9 del GDPR, che prevede che, <<se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto…>>.
Nelle sue linee guida, il WP 29 – oggi EDPB – specificava che <<una valutazione d’impatto sulla protezione dei dati non sia richiesta>>, tra i vari casi, <<quando il trattamento non è tale da “presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35, paragrafo 1)>> e che, in merito al coinvolgimento degli interessati:
- le loro opinioni possono essere raccolte attraverso una varietà di mezzi, a seconda del contesto;
- il loro consenso al trattamento non è ovviamente un modo per raccogliere le opinioni degli interessati;
- qualora la decisione finale del titolare del trattamento si discosti dalle opinioni degli interessati, le sue motivazioni a sostegno del procedere o meno vanno documentate;
- il titolare del trattamento deve altresì documentare la sua giustificazione per la mancata raccolta delle opinioni degli interessati.
La valutazione d’impatto, o DPIA, nella migliore delle ipotesi e secondo l’applicazione ortodossa del GDPR dovrebbe essere, quantomeno, la risultante delle valutazioni singole e contemperate tra loro del titolare, del responsabile, degli eventuali DPO e degli interessati.
Coinvolgimento degli interessati nella DPIA: tre riflessioni
Sul coinvolgimento degli interessati in una DPIA, che può avvenire anche attraverso le loro rappresentanze, a questo punto, possiamo fare almeno tre riflessioni.
La prima è di natura operativa: cosa significa “se del caso”? Chi decide che “è il caso” o meno? Il titolare, nelle more dell’esercizio dei suoi poteri e in applicazione del principio di responsabilità, è effettivamente in grado di discernere se sia o meno il caso, o per semplice interesse (magari per risparmiare i costi legati alla raccolta delle opinioni degli interessati) o sperando di ottenerne un vantaggio (magari per mantenere occultato agli interessati un determinato trattamento) potrebbe deliberatamente scegliere di ignorare l’obbligo?
La seconda è di natura politica: stante quanto detto nella prima riflessione, potrebbe essere d’uopo che le associazioni dei consumatori, le associazioni sindacali o, se esistono, le associazioni di interessati, oppure il legislatore stesso o le autorità di controllo pubblicassero periodicamente dei rapporti in merito alle opinioni degli interessati, almeno per le macro-categorie dei principali trattamenti, o indicassero “quando è il caso”?
La terza, infine, è di natura sociologica e filosofica e molti incipit li possiamo ritrovare nell’opera “Sociologia del rischio”, di David Le Breton, antropologo e sociologo francese, docente all’Università di Strasburgo, che prende in analisi anche lavori di suoi colleghi. Nell’andare a coinvolgere gli interessati e ad analizzarne le opinioni, il titolare del trattamento deve necessariamente prendere in considerazione il fatto che il rischio percepito sia una <<rappresentazione sociale>> che assume <<forme mutevoli da una società e da un periodo storico all’altro, secondo le categorie sociali>> poiché <<traduce una serie di timori più o meno condivisi all’interno di una collettività sociale>>. In altre parole, <<nel corso dell’esistenza le paure si modificano e il paesaggio del rischio cambia>> e <<il rischio è socialmente costruito e dipende dalla percezione degli attori, vale a dire ai significati e dai valori messi in gioco nella loro comprensione delle situazioni>>.
Il rischio, pertanto, esattamente come il concetto di “dato personale”, è estremamente aleatorio ed è relativizzato: ciò che è oggettivo e costante sono il fatto, la situazione, il trattamento, che rappresentano elementi di un pericolo che ciascun interessato, a seconda dell’ambito e del contesto, identifica e percepisce con diversi gradi di rischiosità. È bene sottolineare, a questo punto, che <<alcuni rischi sono socialmente più accettati di altri>> e che, <<in certe circostanze, se è liberamente scelto o accettato, il rischio è una risorsa identitaria>> ovvero concorre alla formazione dell’identità e della personalità dell’interessato e della società in cui vive. Ne consegue, quindi, che dall’opinione degli interessati possiamo ricavarne preziose informazioni circa la rischiosità percepita e l’accettabilità, per gli interessati, di un determinato trattamento, che possono indicare al titolare del trattamento un risultato anche diametralmente opposto a quello da lui presunto o suggerito dalla norma o dai rappresentanti degli interessati. Dati utili per la DPIA.
Un esempio su tutti: la videosorveglianza in ambiente di lavoro. Il dato di fatto è che la norma, a presunzione, include questo trattamento complesso nel novero di quelli altamente rischiosi e per i quali sia doverosa una valutazione d’impatto sulla protezione dei dati; ciò è avallato anche dal fatto che lo Statuto dei Lavoratori prevede misure di garanzia ponendo un espresso limite alle finalità perseguibili legittimamente e pesanti misure di garanzia a tutela dei lavoratori (la concertazione sindacale o l’autorizzazione dell’INL). Dall’altra parte, se dovessimo chiedere ai singoli, soprattutto nelle piccole e nelle micro-imprese, la videosorveglianza è vista prevalentemente come uno strumento di protezione, che accresce la sensazione di sicurezza, e meno frequentemente come uno strumento che rischia di permettere il controllo a distanza, rischio che, sovente, è comunque giudicato come un compromesso accettabile a fronte, come detto, della maggior protezione e sicurezza percepite.
I quesiti per il titolare del trattamento
A questo punto, provocatoriamente, le domande da porci potrebbero essere: come si dovrebbe comportare un titolare del trattamento, di fronte a pareri discordi tra la sua valutazione, quella del DPO e quella degli interessati? Il legislatore tiene effettivamente conto dell’evoluzione sociale e della percezione del rischio, nonché della sua accettabilità presunta, nel momento in cui scrive le norme? L’eventuale organo che sarà chiamato a giudicare la questione, sarà in grado di dare una risposta adeguata?
In ogni caso, coinvolgere gli interessati dovrebbe essere vissuta come un’opportunità, per il titolare, di:
- essere più trasparente nei confronti degli interessati;
- creare maggior consapevolezza negli interessati stessi;
- contribuire ad alimentare la “cultura della protezione dei dati” negli interessati e nella sua stessa organizzazione;
- accrescere la fiducia degli interessati verso il titolare medesimo;
- creare un percorso virtuoso che possa fermamente sostenere che il titolare abbia applicato il principio di responsabilizzazione.
Questi cinque, semplici punti rendono chiara l’importanza del coinvolgimento degli interessati nella conduzione delle DPIA.