Le tutele previste in materia di protezione dei dati personali seguono un approccio basato sul rischio, dovendo di conseguenza andare a rafforzare delle garanzie nel momento in cui l’attività può cagionare – o intrinsecamente cagiona – un impatto nei confronti di interessati c.d. “vulnerabili”.
Questa categoria di soggetti viene richiamata dal considerando n. 75 GDPR nell’ambito del computo dei rischi derivanti dalla capacità di cagionare danni fisici, materiali o immateriali di taluni trattamenti riscontrabile nel principio di integrità e sicurezza, accountability e privacy by design, ad esempio. In forza di tale computo viene indicata l’esigenza di porre una particolare attenzione “se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori”.
All’interno delle linee guida WP248 riguardanti lo svolgimento della valutazione d’impatto, poi, l’elemento di vulnerabilità degli interessati è indicato fra i criteri di cui tenere conto per valutare l’obbligo di svolgimento di una DPIA. Non solo: trova anche una migliore definizione generale, come circostanza di squilibrio di potere tale per cui tali interessati possano o non essere in grado di esercitare in modo efficace i propri diritti o altrimenti trovarsi nell’incapacità di opporsi in modo consapevole alle attività di trattamento. Il catalogo esemplificativo che viene offerto a riguardo è piuttosto ampio ed eterogeneo: minori, dipendenti, infermi di mente, richiedenti asilo, anziani o pazienti.
Dal momento che a sua volta il Data Protection Officer deve seguire un approccio basato sul rischio per lo svolgimento dei propri compiti, è necessario che questi sappia declinarli in modo adeguato nel momento in cui l’organizzazione svolge attività di trattamento su dati personali di tale categoria di interessati. E di conseguenza si sappia porre come presidio per rafforzare le garanzie del GDPR, con l’adozione di un comportamento proattivo.
