Valutazione di impatto sulla protezione dei dati
(DPIA) – Art. 35 del Regolamento UE/2016/679
COSA È?
È una procedura prevista dall’articolo 35 del Regolamento UE/2016/679 che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.
Perchè?
La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni. In altri termini, la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali. Vista la sua utilità, il Gruppo Art. 29 suggerisce di valutarne l’impiego per tutti i trattamenti, e non solo nei casi in cui il Regolamento la prescrive come obbligatoria.
In Che Momento?
La DPIA deve essere condotta prima di procedere al trattamento. Dovrebbe comunque essere previsto un riesame continuo della DPIA, ripetendo la valutazione a intervalli regolari.
A Chi Spetta?
La responsabilità della DPIA spetta al titolare, anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione. Il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati (RPD, in inglese DPO) e acquisendo – se i trattamenti lo richiedono – il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, CISO) e del responsabile IT.
Quando la DPIA è obbligatoria?
In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito:
- Trattamenti valutativi o di scoring, compresa la profilazione;
- Decisioni automatizzate che producono significativi effetti giuridici
(es: assunzioni, concessione di prestiti, stipula di assicurazioni); - Monitoraggio sistematico (es: videosorveglianza);
- Trattamento di dati sensibili, giudiziari o di natura estremamente
personale (es: informazioni sulle opinioni politiche); - Trattamenti di dati personali su larga scala;
- Combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
- Dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
- Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
- Trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
La DPIA è necessaria in presenza di almeno due di questi criteri, ma – tenendo conto delle circostanze – il titolare può decidere di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.
Quando la DPIA non è obbligatoria?
Secondo le Linee guida del Gruppo Art. 29, la DPIA NON è necessaria per i trattamenti che:
- Non presentano rischio elevato per diritti e libertà delle persone fisiche;
- Hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;
- Sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del maggio 2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;
- Sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;
- Fanno riferimento a norme e regolamenti, Ue o di uno stato membro, per la cui definizione è stata condotta una DPIA.
Richiedi subito una consulenza
Sottoponici i tuoi quesiti e ti risponderemo nel più breve tempo possibile.