Valutazione di impatto DPIA

DPIA cosa è
L’articolo 35 del regolamento UE/2016/679 (GDPR) ai punti 1, 3 e 7 recita

1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

 

3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

 

7. La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del GDPR, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni. In altri termini la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali. Vista la sua utilità il gruppo Art. 29 suggerisce di valutarne l’impiego per tutti i trattamenti e no solo nei casi in cui il regolamento la prescrive come obbligatoria.
La DPIA deve essere condotta prima di procedere al trattamento. Dovrebbe comunque essere previsto un riesame continuo del DPIA, ripetendo la valutazine ad intervalli regolari.
La responsabilità del DPIA spetta al titolare, anche se la conduzione materia della valutazione di impatto può essere affidata ad un altro soggetto interno o esterno all’organizzazione.

Quando la DPIA é obbligatoria?
In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Il Gruppo Art. 29 individua alcuni criteri specifici:

  • trattamenti valutativi o di scoring, compresa la profilazione;
  • decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, tipula di assicurazioni etc.);
  • monitoraggio sistematico (es: video sorveglianza);
  • trattamento di dati sensibili, giudiziari, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
  • trattamento di dati personali su larga scala;
  • combinazione o raffronto di di insieme di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio con i Big data);
  • dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, etc.);
  • utilizzi innovativi o applicazione di nuove soluzioni tecnologiche od organizzative (es: riconoscimento facciale, device Io T etc.);
  • trattamenti che di per sè, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

La DPIA è necessaria in presenza di almeno due di questi criteri, ma tenendo conto delle circostanze, il titolare può decidere di condurre una DPIA anche se ricorre un solo dei criteri di cui sopra.

Quando la DPIA non é obblibatoria?
Secondo le linee guida del gruppo Art. 29 la DPIA non è necessaria per i trattamenti che:

  • non presentano rischi elevato per i diritti e le libertà delle persone fisiche;
  • hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento sul quale è già stata condotta una DPIA;
  • sono già stati sottoposti a verifica da parte dell’autorità di controllo prima di maggio 2018 e le cui condizione (es: oggetto, finalità etc.) non hanno subito modifiche;
  • sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;
  • fanno riferimento a norme e regolamenti UE o di uno stato membro, per la cui definizione è stata condotta una DPIA

 

 

Il software gratuito per la valutazione DPIA è disponibile presso

il Garante Privacy,

oppure

registrandosi a questo sito ed accedendo al repository

 

Pin It on Pinterest