Consulenza e formazione. Dal 1995 un punto di riferimento per aziende e professionisti.

Magazine

DPIA e GDPR: la valutazione d'impatto sulla protezione dei dati personali

DPIA e GDPR: la valutazione d'impatto sulla protezione dei dati personali

La valutazione di impatto sulla protezione dei dati personali è un importante strumento per garantire e dimostrare la conformità del trattamento a quanto previsto dal GDPR.

A livello legislativo, la DPIA (Data Protection Impact Assessment) è introdotta dall'articolo 35 del regolamento UE 2016/579, e quindi risulta fondamentale non solo per osservare i requisiti stabiliti, ma anche per evitare pesanti sanzioni per le imprese che non li rispettano.

In questo articolo vedremo, nel dettaglio:

  • cos'è la valutazione d'impatto sulla protezione dei dati;
  • quando è obbligatoria;
  • responsabilità e contenuti della DPIA.

Cos’è la valutazione d’impatto sulla protezione dei dati personali (DPIA)

Come anticipato, la valutazione d'impatto sulla protezione dei dati è una procedura prevista dall'articolo 35 del GDPR.

Nello specifico, esso prevede - al paragrafo 1 - quanto segue:

"Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali".

La DPIA è, dunque, necessaria prima di procedere al trattamento (nei casi che vedremo nel prossimo paragrafo) e rappresenta un importante strumento di responsabilizzazione (principio di accountability): non solo aiuta il titolare del trattamento a rispettare quanto previsto dal GDPR, ma anche ad attestare l'effettiva adozione delle misure idonee a garantire la sicurezza dei dati personali.

La valutazione d'impatto sulla protezione dei dati personali, inoltre, non si esaurisce con la realizzazione della stessa (in fase di progettazione del trattamento): essa andrà costantemente aggiornata per garantire sempre la conformità del progetto.

DPIA privacy: quando è obbligatoria

Come evidenziato all'articolo 35, la valutazione di impatto sulla protezione dei dati personali è obbligatoria quando presenta "un rischio elevato per i diritti e le libertà delle persone".

Il garante per la protezione dei dati personali ha fornito l'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto (Allegato 1 provvedimento 467 dell'11 ottobre 2018).

Vediamo, dunque, le 12 tipologie di trattamenti sottoposti a DPIA:

  1. trattamenti valutativi o di scoring su larga scala, compresi quelli che comportano la profilazione degli interessati;
  2. trattamenti automatizzati volti ad assumere decisioni che producono significativi effetti giuridici o che incidono “in modo analogo significativamente” sull’interessato (es: screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi);
  3. trattamenti che prevedono un utilizzo sistematico dei dati per osservazione, monitoraggio o controllo dei soggetti interessati;
  4. trattamento su larga scala di dati estremamente personali, connessi alla vita familiare o privata, dati che incidono sull'esercizio di un diritto fondamentale o la cui violazione comporta un grave impatto sulla vita quotidiana dell'interessato;
  5. trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici, che permettono di effettuare un controllo a distanza dell’attività dei dipendenti (es. videosorveglianza e geolocalizzazione);
  6. trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  7. trattamenti per utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
  8. trattamenti che comportano lo scambio, tra diversi titolari, di dati su larga scala con modalità telematiche;
  9. trattamenti effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi quelli che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment);
  10. trattamenti di categorie particolari di dati ai sensi dell’art. 9 o relativi a condanne penali e a reati di cui all’art. 10, interconnessi con altri dati personali raccolti per finalità diverse;
  11. trattamenti sistematici di dati biometrici, trattati per identificare univocamente una persona fisica;
  12. trattamenti sistematici di dati genetici.

La DPIA è obbligatoria in presenza di almeno due dei criteri appena citati, anche se il titolare può decidere di condurre la valutazione anche qualora ne fosse presente solo uno.

Valutazione DPIA: responsabilità e contenuti

Il soggetto responsabile della valutazione di impatto sulla protezione dei dati personali è il titolare del trattamento, che però può comunque delegarne la realizzazione a una figura interna o esterna all'organizzazione.

Il titolare del trattamento dovrà consultarsi con il responsabile della protezione dei dati (il quale deve anch'egli sorvegliare lo svolgimento della DPIA) e, se i trattamenti lo richiedono, potrà acquisire il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, CISO) e del responsabile IT.

L'art.35 del GDPR, al paragrafo 7, elenca inoltre i contenuti minimi che devono essere inclusi in una valutazione di impatto sulla protezione dei dati. Essi sono:

  • una descrizione dei trattamenti previsti e delle finalità del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti, in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi e dimostrare la conformità al regolamento.

Nella valutazione, infine, andrà tenuto conto anche del rispetto dei codici di condotta menzionati all'art. 40 del regolamento europeo sulla privacy.

Per approfondire altre tematiche legate al GDPR e al trattamento dei dati personali, scopri tutti i nostri articoli in tema privacy oppure contattaci per richiedere la consulenza di un nostro esperto.


banner ebook studio essepi 


sara-bittesnik-studio-essepi  

Scritto da: Sara Bittesnik


Consulente e formatrice specializzata in igiene alimentare, sistemi di gestione e privacy, amante di cucina ed enologia.





Chiamaci

045 8621499