Secondo quanto indicato nel messaggio concernente la nLPD, la valutazione d’impatto sulla protezione dei dati è uno strumento per identificare e valutare i rischi nei quali può incorrere la persona interessata in seguito all’impiego di determinati trattamenti dei dati. Sulla base di questa stima vengono avviate misure per la gestione dei suddetti rischi.

Il legislatore richiede alle aziende di svolgere una valutazione d’impatto sulla protezione dei dati ogni qualvolta il trattamento dei dati può comportare un rischio elevato per i diritti fondamentali o la personalità del soggetto interessato. Sono da considerare rischi tanto più elevati quanto maggiore è la portata del trattamento, quanto più sensibili sono i dati trattati e quanto più ampia è la finalità del trattamento stesso. Secondo il legislatore, vi è un rischio elevato tra l’altro quando vengono elaborati in ampia misura dati personali degni di particolare protezione. Vi è altresì un rischio consistente quando la libertà di disporre dei propri dati per i soggetti interessati è fortemente limitata, quando vengono elaborati grandi volumi di dati, quando le informazioni vengono trasmesse a stati terzi oppure un numero elevato di persone può accedere ai dati stessi. Anche il trattamento dei dati con l’ausilio di moderne tecnologie come l’IA può comportare un rischio elevato.

Le aziende non sono tenute a svolgere una valutazione d’impatto sulla protezione dei dati quando il trattamento è previsto da una disposizione di legge, quando il sistema, prodotto o servizio impiegato è certificato per il trattamento in questione o quando viene osservato un codice di condotta presentato all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). L’avvocato Roman Böhni, specializzato nella normativa sulla protezione dei dati, afferma: «A seconda dell’organizzazione dell’ambiente di sistema e dei processi, per gli studi medici può essere senz’altro necessario svolgere una valutazione d’impatto sulla protezione dei dati, incentrata sul trattamento dei dati dei pazienti ed, eventualmente, anche dei dati del personale. Presumo, tuttavia, che i comuni piccoli studi medici, che elaborano i dati personali nei loro sistemi interni, non siano tenuti a svolgere una tale valutazione. In ogni caso è sempre opportuno valutare ogni singola situazione nello specifico.»

Se un’azienda deve o vuole svolgere una valutazione d’impatto sulla protezione dei dati, la procedura concreta per la sua esecuzione è la seguente: si fa riferimento al registro delle attività di trattamento già esistente. Per ogni processo definito al suo interno si valuta se il trattamento dei dati personali previsto costituisce un rischio elevato per i soggetti interessati. Se si giunge alla conclusione che la procedura di trattamento verificata non rappresenta un rischio elevato, è necessario motivare brevemente e documentare questo risultato (ad es. direttamente nel registro dei trattamenti).

Analisi strutturata del rischio

Se, al contrario, dall’esame scaturisce un rischio elevato, si deve svolgere la valutazione d’impatto sulla protezione dei dati. Ma cosa significa nel concreto? Roman Böhni spiega: «La valutazione d’impatto sulla protezione dei dati è un’analisi strutturata del rischio che deve essere documentata. Innanzitutto è necessario descrivere la relativa procedura di elaborazione. In una seconda fase si devono identificare e valutare i rischi rilevanti per le persone interessate. In un terzo step vengono definite le misure già attuate e quelle ancora da implementare, volte a minimizzare i rischi del trattamento in questione. Infine si definisce un eventuale fabbisogno d’intervento». Il legislatore non prescrive la forma da adottare per la valutazione d’impatto sulla protezione dei dati. Esistono strumenti professionali che possono aiutare nello svolgimento di una tale analisi. L’avvocato ritiene tuttavia che questi tool di norma siano eccessivi per le reali necessità di un classico studio medico. Sarebbe quindi più opportuno avvalersi di modelli adeguati alle esigenze e alle circostanze di ogni contesto come, ad esempio, quelli che vengono pubblicati online dagli incaricati della protezione dei dati di alcuni Cantoni.

«Qualora la valutazione d’impatto sulla protezione dei dati dovesse evidenziare che il trattamento dei dati in programma, nonostante le misure di riduzione dei rischi, rappresenta un rischio elevato per le persone interessate, la relativa documentazione deve essere inoltrata all’IFPDT per la consultazione.», sostiene Roman Böhni. In alternativa alla comunicazione all’IFPDT, vi è anche la possibilità di nominare una o un consulente in materia di protezione dei dati a cui rivolgersi per una consulenza sulla valutazione d’impatto.

«Infine, non è importante solo allestire la valutazione d’impatto sulla protezione dei dati, ma anche verificare periodicamente se la situazione di rischio è cambiata ed, eventualmente, implementare misure nuove o modificate. In questo caso, il documento deve essere aggiornato di conseguenza.», afferma Roman Böhni.