329 233 1915 - 06.84.38.55.59 studio@ricorsogdpr.it

DPIA

 

 

Valutazione di impatto sulla protezione dei dati
(DPIA) – Art. 35 del Regolamento UE/2016/679

COSA È?

È una procedura prevista dall’articolo 35 del Regolamento UE/2016/679 che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.

u

Perchè?

La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni. In altri termini, la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali. Vista la sua utilità, il Gruppo Art. 29 suggerisce di valutarne l’impiego per tutti i trattamenti, e non solo nei casi in cui il Regolamento la prescrive come obbligatoria.

}

In Che Momento?

La DPIA deve essere condotta prima di procedere al trattamento. Dovrebbe comunque essere previsto un riesame continuo della DPIA, ripetendo la valutazione a intervalli regolari.

u

A Chi Spetta?

La responsabilità della DPIA spetta al titolare, anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione. Il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati (RPD, in inglese DPO) e acquisendo – se i trattamenti lo richiedono – il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, CISO) e del responsabile IT.

Quando la DPIA è obbligatoria?

In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito:

  • Trattamenti valutativi o di scoring, compresa la profilazione;
  • Decisioni automatizzate che producono significativi effetti giuridici
    (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
  • Monitoraggio sistematico (es: videosorveglianza);
  • Trattamento di dati sensibili, giudiziari o di natura estremamente
    personale (es: informazioni sulle opinioni politiche);
  • Trattamenti di dati personali su larga scala;
  • Combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
  • Dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
  • Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
  • Trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

La DPIA è necessaria in presenza di almeno due di questi criteri, ma – tenendo conto delle circostanze – il titolare può decidere di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.

Quando la DPIA non è obbligatoria?

Secondo le Linee guida del Gruppo Art. 29, la DPIA NON è necessaria per i trattamenti che:

  • Non presentano rischio elevato per diritti e libertà delle persone fisiche;
  • Hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;
  • Sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del maggio 2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;
  • Sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;
  • Fanno riferimento a norme e regolamenti, Ue o di uno stato membro, per la cui definizione è stata condotta una DPIA.

Richiedi subito una consulenza

Sottoponici i tuoi quesiti e ti risponderemo nel più breve tempo possibile.

Clicca qui
Call Now Button