Valutazione d’impatto sulla protezione dei dati (DPIA): la valutazione d’impatto e il rischio del trattamento. Che cosa è, di chi è responsabilità e chi ha l’obbligo di farla?
DPIA: cosa è?
La Valutazione di impatto sulla protezione dei dati (DPIA dall’inglese Data Protection Impact Assessment) è uno strumento previsto esplicitamente dall’art. 35 del GDPR. Lo scopo della DPIA è quello di delineare un trattamento di dati, valutarne necessità, proporzionalità e gestire gli eventuali rischi ai diritti e alla libertà ai quali il trattamento può esporre gli interessati. Emerge quindi come il primo step, necessario, sia quello di individuare, analizzare, stimare i rischi e predisporre idonee misure di minimizzazione del rischio. Infatti la DPIA va effettuata in maniera preventiva, prima cioè di avviare il trattamento dati.
Il GDPR, da questo punto di vista, sposta tutta la responsabilità sul titolare del trattamento. E’ questa la figura che deve gestire i rischi potenziali legati ad uno specifico trattamento. Una grande differenza rispetto al passato, dove invece era necessaria un’autorizzazione preventiva al trattamento dati concessa dall’Autorità di Controllo.
Ciò non impedisce però l’affidamento dello svolgimento della DPIA ad un soggetto diverso, anche nel caso in cui questo sia terzo rispetto all’azienda. Il titolare del trattamento resterà responsabile dello stesso e dovrà vigilare lo svolgimento della DPIA, ma potrà avvalersi dei servizi di un responsabile IT oppure di un Data Protection Officer (DPO).
Valutazione di impatto sulla protezione dei dati (DPIA): perché?
La valutazione del rischio ha lo scopo di portare il titolare a individuare, in autonomia e correntemente al principio di accountability, se sussistono o meno rischi elevati conseguenti ad un dato trattamento. Se infatti, da un trattamento dati, possono derivare rischi per le libertà e i diritti degli interessati, il titolare avrà la responsabilità di individuare e approntare misure specifiche per minimizzare o eliminare tali rischi.
Qualora e solo nel caso in cui il titolare del trattamento non dovesse trovare misure idonee di eliminazione o minimizzazione del rischio, dovrà consultare il Garante per la protezione dei dati personali.
DPIA: un consiglio utile
E’ utile ricordare che la DPIA può riguardare un singolo trattamento, ma anche più trattamenti. Purchè questi, ovviamente, siano simili. Un caso classico? Un gruppo di società diverse che utilizzano simile tecnologia per la stessa raccolta dati e per un trattamento che abbia me medesime finalità. Insomma non è necessario svolgere una nuova DPIA se l’impatto e i rischi derivanti da un determinato trattamento sono già stati analizzati e valutati da altri soggetti.
Per saperne di più> L’analisi del rischio e il principio di accountability
In quali casi è un obbligo legale?
Premesso che una valutazione d’impatto è sempre utile per avere maggiore consapevolezza rispetto ai trattamenti dati in essere, l’art 35 dettaglia i casi nei quali la DPIA è obbligatoria. In dettaglio, il paragrafo 3 elenca questi casi:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
In concreto, i casi più comuni di trattamento che richiede la DPIA sono quei trattamenti che:
- si basano su decisioni automatizzate (tracciamento online);
- prevedono un monitoraggio costante (geolocalizzazione);
- prevedono di trattare dati su larga scala (videosorveglianza);
- hanno scopo valutativo (affidabilità creditizia, scoring bancario – finanziario ecc…)
- trattano dati di soggetti vulnerabili (ad esempio minori);
- confrontano basi di dati (machine learning in uso per assistenzi digitali ecc…)
Il Garante italiano ha individuato dodici diverse casistiche
La tua azienda è conforme al GDPR e alla normativa Privacy? Non rischiare!
Valuta con noi, senza impegno, il tuo livello di conformità. I nostri esperti analizzeranno i dati immessi nella richiesta e realizzeranno tutto l’incartamento, che ti invieremo in formato PDF.
