Skip to main content

La valutazione d’impatto sulla protezione dei dati personali, detta anche Dpia, è uno strumento grazie al quale le aziende possono efficacemente prevedere i rischi derivanti dal trattamento di determinate informazioni e conseguentemente adottare tutte le opportune misure tecniche e organizzative.

La Dpia rappresenta una delle pietre miliari del quadro normativo introdotto dal GDPR. La valutazione d’impatto è strumento tecnico attraverso il quale può estrinsecarsi il cosiddetto principio di accountability (principio di responsabilizzazione).

Cos’è e a cosa serve il documento di valutazione d’impatto?

Questo strumento serve alle aziende per stabilire il grado di rischio e l’impatto che avrebbe il trattamento di determinati dati personali (considerati dall’ordinamento particolarmente sensibili e per questo meritevoli di maggior tutela) sulle libertà e sui diritti degli interessati e  contestualmente di adottare tutte le misure tecniche ed organizzative per ridurre tale impatto. Ai sensi dell’articolo 35 del nuovo Regolamento europeo sulla privacy, infatti, ogni titolare di trattamento è obbligato alla redazione della Dpia prima dell’inizio di qualsiasi attività. Per di più, nel caso in cui dal documento risulti che le misure tecnico-organizzative adottate non siano sufficienti a mitigare l’impatto dello stesso o i suoi possibili rischi, nasce in capo alle aziende un’ulteriore obbligo di consultazione dell’Autorità di controllo.

Chi deve redigere il documento?

I soggetti designati alla redazione della Dpia sono il titolare del trattamento, coadiuvato dal responsabile della protezione dei dati, se designato.

Quando la redazione della Dpia è obbligatoria?

Da un’attenta lettura dell’art. 35 del GDPR si rileva che la redazione del documento di valutazione d’impatto è necessaria ogni qualvolta un trattamento può presentare un rischio elevato per i diritti e le libertà degli interessati. Oltre a quanto già previsto espressamente dal GDPR, secondo le linee guida redatte dal Gruppo di lavoro Art. 29 al verificarsi di almeno due dei seguenti condizioni scatterebbe comunque per le aziende l’obbligo di redazione del Dpia. In particolare per:

  • I trattamenti valutativi o di scoring, compresa la profilazione;
  • Le decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
  • Il monitoraggio sistematico (es: videosorveglianza);
  • Il trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
  • I trattamenti di dati personali su larga scala;
  • La combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
  • I dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
  • Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
  • Trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

Per approfondimenti si rimanda al sito ufficiale del Garante della Privacy https://www.garanteprivacy.it/regolamentoue/DPIA

 

Fonte: PSBPrivacyesicurezza.it

Leave a Reply