DPIA: Data Protection Impact Assessment

DPIA: Data Protection Impact Assessment, valutazione d’impatto della protezione dei dati privati

Ecco le principali caratteristiche del DPIA, Data Protection Impact Assessment, la valutazione d’impatto del trattamento ad opera del titolare.

Al fine di garantire una cospicua protezione dei dati personali, sono state adottate ingenti misure dagli organi competenti, tra le quali spicca il Gdpr,il regolamento generale dell’UE sulla protezione della privacy. Questa normativa diventerà operativa il 25 maggio 2018, su tutte le nazioni appartenenti alla Comunità Europea. Tutte le aziende che incentrano le proprie attività nei territori comunitari devono adeguare i loro siti web a questa direttiva europea.

Tra gli elementi cardini di questo provvedimento vi è il DPIA, Data Protection Impact Assessment, valutazione d’impatto della protezione dei dati privati E’ un sistema di valutazione dei rischi che possono derivare da potenziali infrazioni al trattamento dei dati personali, nonché di eventuali strascichi annessi.

Questa tematica è stata affrontata precedentemente dal Gruppo dei garanti della privacy del GDPR (WP29), il quale ha definito i punti salienti riguardanti la valutazione d’impatto in caso di violazione della protezione dei dati. Raccomanda inoltre di impiegarla per tutti i trattamenti dei dati personali, non solo per quelli ad alto rischio.

DPIA: Data Protection Impact Assestment

La DPIA consiste in una valutazione iniziale degli impatti e dei pericoli che possono interessare una possibile infrazione del trattamento delle informazioni personali. Consente al titolare di dimostrare l’adempimento dei mezzi necessari a rispettare la normativa GDPR.

Questa analisi è caratterizzata da due considerazioni:

• livello di rischio, dei diritti degli utenti interessati;
• stato evolutivo e tecnologico dei mezzi adoperati per il trattamento dei dati.

Al fine di individuare le misure idonee a diminuire i rischi, il documento determina solamente i criteri da seguire. Viene espressa una discordanza tra le misure atte a limitare i rischi e quelle dirette a palesare il rispetto del GDPR. 
La cosa che rileva maggiormente dalle linee guida è, tuttavia, la concezione che la valutazione del rischio non è una attività singola ed unica nel tempo, ma un processo e un flusso costante.

Gestore della conduzione della valutazione d’impatto DPIA

Il garante unico della valutazione d’impatto è il titolare del trattamento. Quest’onere non può essere affidato a nessun’altra figura.  La gestione può essere eseguita autonomamente, all’interno dell’apparato aziendale, o delegando il compito a terzi.  Tuttavia il titolare, che deve mantenere un controllo continuo, rimane il solo e unico ad avere la completa responsabilità. Di conseguenza diviene necessario mantenere una diretta interazione con il DPO, Data Protection Officer, il dipendente che si occupa della tutela e dell’immagazzinamento delle informazioni personali.

Pertanto il Titolare del trattamento ha l’obbligo di identificare le cause, la complessità, e i fattori che caratterizzano il rischio, ma anche lo scopo e la modalità d’utilizzo dello stesso, prima che i dati vengano estrapolati. Non a caso in presenza di alta pericolosità del dato, pesanti saranno le ripercussioni in termini d’impatto.

La normativa elenca due punti diversi riguardo questa problematica: 

• art.24, il quale pone l’esaminazione dei rischi tra i punti cardini, per mettere in atto i provvedimenti necessari alla salvaguardia del trattamento. Il titolare infatti ha l’onere di attestare di avere preso gli accorgimenti necessari per allineare il trattamento al regolamento GDPR;
• art. 35, in caso di grossi pericoli per la privacy degli utenti interessati, diviene necessario attuare una peculiare valutazione d’impatto;
• art 36, sancisce l’obbligo di un consulto cautelativo da parte dell’autorità di controllo nel caso in cui il titolare reputa l’adattamento di specifici provvedimenti.

Il titolare deve sottostare ad alcune direttive:

• illustrare i motivi delle valutazioni, e delle scelte effettuate, nel documento scritto che compone la parte convenzionale della DPIA;
• Definire la figura che ha eseguito l’analisi dei trattamenti, e determinato gli accorgimenti necessari;
• Precisare se si ha commissionato un professionista esterno;
• Incarico eseguito dal gestore del trattamento;
• Punti di vista del DPO, previa nomina.

Quando la DPIA è prevista dal regolamento

La DPIA è necessaria in presenza di alti rischi per i diritti degli utenti. A seguire inoltriamo l’articolo35, comma 3 del GDPR, che illustra appieno la questione:

“la valutazione d’impatto è obbligatoria in presenza di:

• Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato;
• un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
• Una sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

SI può facilmente osservare come i canoni relativi ad una necessaria valutazione d’impatto siano:

• proroga e circostanza del trattamento,
• Numero degli interessati
• Caratteristiche delle informazioni private

La DPIA deve essere eseguita antecedentemente all’inizio del trattamento. In caso di assenza di pericoli può essere arrestata. In questo frangente è opportuno tenere in considerazione anche le componenti fisiche degli strumenti utilizzati.

Quando la DPIA non è obbligatoria

Secondo le disposizioni del gruppo dei garanti, la DPIA non va attuata in alcuni casi:

• Basso pericolo dei diritti e della privacy degli utenti;
• Controllo già eseguito dall’Autorità di controllo prima dell’emissione del GDPR (25 maggio 2018)
• Riferimenti a direttive di uno stato comunitario
• In caso di trattamenti facoltativi

Se hai bisogno di una consulenza puoi contattare l’Avvocato Gabriele Carmelo Gallo con il quale collaboro per porre il tuo quesito.