La valutazione d'impatto sulla protezione dei dati

Pubblicato il 16 Giugno 2019

Tempo di lettura stimato: 2 minuti e 37 secondi.

Una delle principali novità introdotte dal Regolamento 679 del 2016 è la valutazione d'impatto sulla protezione dei dati, anche conosciuta come DPIA (data protection impact assessment) o PIA (privacy impact assessment). Questa si concretizza in un'analisi approfondita di un'attività di trattamento con particolare attenzione ai rischi per i diritti e le libertà degli interessati.

Il Regolamento, all'articolo 35, sancisce che l'analisi d'impatto debba essere effettuata, prima di avviare un'attività di trattamento, ogni qualvolta essa comporti:

  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • il trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali;
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Nelle linee guida questi criteri sono ulteriormente dettagliati e da 3 diventano 9, con la precisazione che, affinché l'analisi d'impatto sia dovuta, ne devono ricorrere almeno 2. I criteri, come risultanti dalle linee guida, sono:

  1. Trattamenti valutativi o di scoring;
  2. Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura;
  3. Monitoraggio sistematico;
  4. Trattamento di dati sensibili o dati di natura estremamente personale;
  5. Trattamenti di dati su larga scala;
  6. Combinazione o raffronto di insiemi di dati;
  7. Trattamento di dati relativi a interessati vulnerabili;
  8. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche;
  9. Esercizio di un diritto o conclusione di un contratto subordinato al trattamento.

Non vi è un contenuto predefinito per l'analisi d'impatto, in quanto questo dipende molto dalla tipologia dello specifico trattamento in analisi. Sulla scorta di quanto scritto nel Regolamento e nelle linee guida, possiamo però stilare un elenco di contenuti minimi:

  • una descrizione sistematica dei trattamenti previsti, delle finalità del trattamento, delle categorie di dati, soggetti a cui vengono comunicati i dati, periodi di conservazione, supporti hadware e software tramite cui sono trattati i dati;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità e un'analisi su come vengano rispettati i principi sanciti agli articoli 5 e seguenti del Regolamento. In particolare, liceità, correttezza e trasparenza, minimizzazione dei dati, limitazione della conservazione;
  • una valutazione delle misure poste in essere per dare agli interessati la possibilità di esercitare i propri diritti;
  • un'analisi dei rischi per i diritti e le libertà delle persone fisiche
  • il coinvolgimento di portatori di interesse quali gli interessati o associazioni di categoria che li rappresentino e il Responsabile della protezione dei dati (del Titolare del trattamento).

Quando a seguito dell'esecuzione di un'analisi d'impatto permangono rischi per i diritti e le libertà delle persone fisiche, è opportuno effettuare una consultazione preventiva all'autorità di controllo, inviando Valutaazione d'impatto e altra documentazione utile al fine di sentire il parere del Garante che si esprime entro un termine di otto settimane.

Tags: GDPR, DPIA, Rischio