DPIA: Data Protection Impact Assessment

3308 0

L’art. 35 del DGPR – Regolamento generale sulla protezione dei dati parla di valutazione d’impatto sulla protezione dei dati. Questa deve essere effettuata dal titolare del trattamento. Si effettua quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

DPIA: cosa deve contenere?

La valutazione (DPIA) contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso l’interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati;

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Valutazione di impatto sulla protezione dei dati (DPIA): quando effettuarla?

La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei seguenti casi:

  1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche;
  2. il trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  3. la sorveglianza sistematica di una zona accessibile al pubblico su larga scala.

 

I trattamenti soggetti al requisito di una DPIA: gli elenchi dell’autorità di controllo

L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. La stessa Autorità comunica tali elenchi al Comitato europeo per la protezione dei dati.

L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. Anche tali elenchi sono comunicati dall’Autorità al Comitato europeo per la protezione dei dati.

Prima di adottare tali elenchi l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 del Regolamento.

Le linee guida WP 29 del 4 aprile 2017 con primo emendamento del 4 ottobre 2017

Le linee guida dei Garanti europei hanno cercato di fornire utili chiarimenti in una materia sicuramente molto complessa.

In realtà nelle linee guida viene precisato che l’obbligo di condurre una DPIA, in determinate circostanze, deve essere collocato nel contesto del più generale obbligo imposto ai titolari di gestire correttamente i rischi connessi al trattamento di dati personali.

Cosa si intende per rischio?

Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità. D’altro canto, la “gestione del rischio” è definibile come l’insieme coordinato delle attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio.

Quando si parla di approccio basato sul rischio nel contesto giuridico della protezione dei dati, il riferimento ai “diritti e le libertà” degli interessati va inteso in primo luogo come relativo al diritto alla privacy, ma può riguardare anche altri diritti fondamentali quali la libertà di espressione e di pensiero, la libertà di movimento, il divieto di discriminazioni, il diritto alla libertà di coscienza e di religione.

Quando è obbligatoria la DPIA?

Coerentemente con l’approccio basato sul rischio che informa il GDPR, non è obbligatorio condurre una DPIA per ogni singolo trattamento. Viceversa, la DPIA è obbligatoria solo se una determinata tipologia di trattamenti “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, paragrafo 1).

Tuttavia, la semplice circostanza per cui non siano soddisfatte le condizioni che generano un obbligo di condurre la DPIA non riduce in alcun modo l’obbligo più generale cui soggiacciono i titolari di mettere in atto misure finalizzate a gestire in modo idoneo i rischi per i diritti e le libertà degli interessati.

Nelle linee guida viene precisato che una singola DPIA, per quanto possa riguardare una sola operazione di trattamento dei dati, potrebbe essere utilizzata per valutare molteplici operazioni. Operazioni simili in termini di rischi presentati, purché adeguatamente considerate la specifica natura, portata, contesto e finalità del trattamento.

Qual è la metodologia per effettuare una DPIA?

Le linee guida suggeriscono, inoltre, diverse metodologie per effettuare una DPIA anche se i criteri naturalmente devono essere comuni.

In merito è stata predisposta una specifica norma internazionale ISO/IEC 29134 dal titolo “Privacy Impact Assessment – Methodology” . Questa propone un processo molto articolato in 12 passi, a cui ne vanno aggiunti 2 di riesame periodico o ad hoc e di attuazione degli eventuali cambiamenti necessari; un indice in 6 punti per il rapporto di valutazione ed un esempio per la stima degli impatti.

Nel considerando 90 del GDPR sono elencati alcuni elementi della DPIA che risultano sovrapponibili a elementi ben noti di schemi esistenti per la gestione del rischio (per esempio, ISO 31000). In termini di gestione del rischio, una DPIA mira a “gestire i rischi” per i diritti e le libertà delle persone fisiche attraverso i processi di seguito indicati:

  • Definizione del contesto: “tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento e delle fonti di rischio”;
  • Valutazione dei rischi: “valutare la particolare probabilità e gravità del rischio elevato”;
  • Gestione dei rischi: “attenuare tale rischio” “assicurando la protezione dei dati personali” e “dimostrando la conformità al regolamento”.

Per un approfondimento sul tema rimandiamo al volume

IL NUOVO REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI

di Adalberto Biasiotti

EPC Editore

Consulta anche l’articolo

La normativa per il trattamento dei dati sensibili

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore