La Valutazione di impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment) è una procedura intesa a descrivere il trattamento dei dati, valutarne la necessità e la proporzionalità, inoltre contribuisce ad individuare e gestire i rischi per i diritti e le libertà delle persone fisiche che derivano dal trattamento dei dati personali.
La DPIA consente al Titolare del trattamento di analizzare in modo sistematico come un nuovo trattamento, una nuova tecnologia, o un nuovo progetto possa avere un impatto sui diritti e le libertà degli interessati e individuare, con un approccio privacy by design & by default (a partire dalla progettazione), quali misure implementare per la tutela di quest’ultimi.
L’art. 35 Reg. UE 2016/679 GDPR prevede che la DPIA sia obbligatoria in caso di trattamenti che per natura, oggetto, contesto e finalità, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Perché è importante?
La valutazione di impatto sulla protezione dei dati è uno strumento importante in termini di responsabilizzazione in quanto aiuta il Titolare del trattamento ad attestare di aver adottato tutte le misure idonee a garantire il rispetto di tali prescrizioni. In altri termini, la DPIA è una procedura che permette di valutare e verificare la conformità con le norme in materia di protezione dei dati personali.
Chi ha l’obbligo di effettuare la DPIA?
Il Titolare del trattamento è colui che deve assicurarsi che la DPIA sia eseguita. L’esecuzione della DPIA può essere effettuata anche da un’altra persona all’interno o all’esterno dell’organizzazione, tuttavia il titolare rimane in ultima analisi il responsabile di tale compito.
Il Titolare deve anche chiedere il parere del Responsabile del trattamento dei dati (DPO – Data Protection Officer) se designato, e tale parere oltre alle altre decisioni prese dal titolare devono essere documentati nella DPIA. Il DPO dovrebbe inoltre monitorare l’andamento della DPIA.
Quando la DPIA è obbligatoria?
La DPIA è “obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone”, per esempio quando avviene con l’uso di nuove tecnologie. In particolare, il regolamento individua 9 casi specifici:
- Valutazione o attribuzione di un punteggio, inclusa la profilazione e la previsione, in particolare di aspetti riguardanti le prestazioni del soggetto interessato sul lavoro, situazione economica, salute, preferenze o interessi personali, affidabilità o comportamento;
- Decisioni automatizzate che producono significativi effetti legali o simili (assunzioni, concessioni di prestiti, stipula di assicurazioni);
- Il monitoraggio sistematico (videosorveglianza);
- Trattamento di dati sensibili, giudiziari o di natura estremamente personale (come le opinioni politiche);
- Trattamento dati personali su larga scala;
- Trattamento di Big Data;
- Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo);
- Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, ecc.);
- Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento.
Quando la DPIA non è obbligatoria?
La DPIA non è necessaria per i trattamenti che:
- Non presentano rischio elevato per diritti e libertà delle persone fisiche;
- Hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;
- Sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del maggio 2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;
- Sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;
- Fanno riferimento a norme e regolamenti, Ue o di uno stato membro, per la cui definizione è stata condotta una DPIA.
Contattaci
Per avere maggiori informazioni circa la Valutazione di impatto sulla protezione dei dati contatta la SF Business Advisor
- compilando il form dedicato
- chiamando il numero 085.9116786
- inviando una e-mail a info@sfbusinessadvisor.it
Sarai ricontattato al massimo entro 24 ore con la soluzione ideale allo sviluppo della tua impresa inerente alla tua richiesta.