Ecco le principali caratteristiche del DPIA, Data Protection Impact Assessment, la valutazione d’impatto del trattamento ad opera del titolare.
Al fine di garantire una cospicua protezione dei dati personali, sono state adottate ingenti misure dagli organi competenti, tra le quali spicca il Gdpr,il regolamento generale dell’UE sulla protezione della privacy. Questa normativa diventerà operativa il 25 maggio 2018, su tutte le nazioni appartenenti alla Comunità Europea. Tutte le aziende che incentrano le proprie attività nei territori comunitari devono adeguare i loro siti web a questa direttiva europea.
Tra gli elementi cardini di questo provvedimento vi è il DPIA, Data Protection Impact Assessment, valutazione d’impatto della protezione dei dati privati E’ un sistema di valutazione dei rischi che possono derivare da potenziali infrazioni al trattamento dei dati personali, nonché di eventuali strascichi annessi.
Questa tematica è stata affrontata precedentemente dal Gruppo dei garanti della privacy del GDPR (WP29), il quale ha definito i punti salienti riguardanti la valutazione d’impatto in caso di violazione della protezione dei dati. Raccomanda inoltre di impiegarla per tutti i trattamenti dei dati personali, non solo per quelli ad alto rischio.
La DPIA consiste in una valutazione iniziale degli impatti e dei pericoli che possono interessare una possibile infrazione del trattamento delle informazioni personali. Consente al titolare di dimostrare l’adempimento dei mezzi necessari a rispettare la normativa GDPR.
Questa analisi è caratterizzata da due considerazioni:
Al fine di individuare le misure idonee a diminuire i rischi, il documento determina solamente i criteri da seguire. Viene espressa una discordanza tra le misure atte a limitare i rischi e quelle dirette a palesare il rispetto del GDPR.
La cosa che rileva maggiormente dalle linee guida è, tuttavia, la concezione che la valutazione del rischio non è una attività singola ed unica nel tempo, ma un processo e un flusso costante.
Il garante unico della valutazione d’impatto è il titolare del trattamento. Quest’onere non può essere affidato a nessun’altra figura. La gestione può essere eseguita autonomamente, all’interno dell’apparato aziendale, o delegando il compito a terzi. Tuttavia il titolare, che deve mantenere un controllo continuo, rimane il solo e unico ad avere la completa responsabilità. Di conseguenza diviene necessario mantenere una diretta interazione con il DPO, Data Protection Officer, il dipendente che si occupa della tutela e dell’immagazzinamento delle informazioni personali.
Pertanto il Titolare del trattamento ha l’obbligo di identificare le cause, la complessità, e i fattori che caratterizzano il rischio, ma anche lo scopo e la modalità d’utilizzo dello stesso, prima che i dati vengano estrapolati. Non a caso in presenza di alta pericolosità del dato, pesanti saranno le ripercussioni in termini d’impatto.
La normativa elenca due punti diversi riguardo questa problematica:
Il titolare deve sottostare ad alcune direttive:
La DPIA è necessaria in presenza di alti rischi per i diritti degli utenti. A seguire inoltriamo l’articolo35, comma 3 del GDPR, che illustra appieno la questione:
“la valutazione d’impatto è obbligatoria in presenza di:
SI può facilmente osservare come i canoni relativi ad una necessaria valutazione d’impatto siano:
La DPIA deve essere eseguita antecedentemente all’inizio del trattamento. In caso di assenza di pericoli può essere arrestata. In questo frangente è opportuno tenere in considerazione anche le componenti fisiche degli strumenti utilizzati.
Secondo le disposizioni del gruppo dei garanti, la DPIA non va attuata in alcuni casi:
Se hai bisogno di una consulenza puoi contattare l’Avvocato Gabriele Carmelo Gallo con il quale collaboro per porre il tuo quesito.
Serve aiuto? Registrati su CRM G Tech Group il gestionale della mia società
Potrai decidere di devolvere lo 0,5% della tua fattura per piantare alberi in tutto il mondo e monitorare la crescita sulla nostra pagina treedom tutti gli alberi vengono geolocalizzati e fotografati al momento in cui vengono piantati. Dal momento dell’acquisto servono da alcune settimane a qualche mese prima che un albero sia pronto per essere piantato.