Dopo aver  appreso come essere conforme al GDPR, devi poter dimostrare la conformità della tua azienda.

Per questo motivo, in questo articolo ti parlerò del nuovo adempimento integrato nel regolamento europeo: il DPIA.

Da non confondere con la figura professionale DPO, di cui abbiamo parlato nel precedente articolo.

Il DPIA (Data Protection Impact Assessment)  si riferisce al nuovo processo integrato nel GDPR, utile per garantire e dimostrare la conformità al nuovo regolamento europeo sulla privacy.  Chiamata anche Valutazione di Impatto, è un obbligo che spetta al Titolare del trattamento dei dati.

L'art. 35 del GDPR sancisce l'obbligo di effettuare una valutazione d'impatto sulla protezione dei dati qualora un tipo di trattamento, in considerazione della natura, dell'oggetto, del contesto e delle finalità del trattamento stesso, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche cui i dati personali trattati si riferiscono.

In cosa consiste la Valutazione di Impatto?

Il documento deve contenere determinate caratteristiche:

• una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso anche l'interesse legittimo perseguito dal titolare del trattamento;
• una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
• una valutazione dei rischi per i diritti e le libertà degli interessati;
• le misure previste per affrontare i rischi, comprese le garanzie, le misure di sicurezza e i meccanismi previsti al fine di garantire la protezione dei dati personali e dimostrare la conformità del trattamento al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Come realizzare una Valutazione di Impatto?

Le Linee Guida designate in materia suggeriscono diversi modi per realizzare una Valutazione di Impatto.

In merito a ciò è in fase di pubblicazione una norma internazionale chiamata “ Privacy Impact Assessment – Methodology” che suggerisce:

• un processo articolato in 12 passi, a cui ne vanno aggiunti 2 di riesame periodico o ad hoc e di attuazione degli eventuali cambiamenti necessari;

• un indice in 6 punti per il rapporto di valutazione ed un esempio per la stima degli impatti.

Il regolamento dà ai titolari un margine di flessibilità nello stabilire la struttura e la forma della valutazione di impatto in modo da consentirne l’inclusione nelle prassi lavorative in essere.

Il DPIA deve configurare una vera valutazione dei rischi e consentire ai titolari di adottare misure per affrontare tali rischi.

Una corretta analisi dei rischi deve tener conto:

• della tipologia dei dati trattati, la loro appetibilità, nonché la loro pericolosità per la privacy dei soggetti cui essi si riferiscono;
• dei comportamenti degli operatori, gli eventi relativi agli strumenti utilizzati per il trattamento dei dati, gli eventi relativi al contesto.

Quando bisogna realizzare la Valutazione di Impatto?

Il Titolare dei dati dovrà realizzare la Valutazione di Impatto quando effettua le seguenti attività:

• una valutazione sistematica e globale degli aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e su cui si fondano decisioni che hanno effetti giuridici o incidono comunque significativamente sulle persone fisiche;
• un trattamento di categorie particolari di dati (dati sensibili), o di dati relativi a condanne penali e a reati;
• operazioni di sorveglianza sistematica di zone accessibile al pubblico su larga scala;
• un uso innovativo o l’applicazione di soluzioni tecnologiche o organizzative;
• tutti quei trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto: ciò comprende i trattamenti finalizzati a consentire, modificare o negare l’accesso degli interessati a un servizio o la stipulazione di un contratto. 

Quando non è necessario realizzare un DPIA?

Non è necessario realizzare la Valutazione di Impatto nei casi in cui:

1. il trattamento non può comportare un rischio elevato per i diritti e le libertà di persone fisiche;
2. la natura, l’ambito, il contesto e le finalità del trattamento sono molto simili a quelli del trattamento per cui è già stata condotta un DPIA;
3. il trattamento è stato sottoposto a verifica da parte di un’autorità di controllo prima del 25 maggio 2018 in condizioni specifiche che non hanno subito modifiche;
4. il trattamento è compreso nell’elenco facoltativo, redatto dall’autorità di controllo ai sensi dell’art. 35, paragrafo 5, dei trattamenti per i quali non è necessario procedere al DPIA.

Come sottolineato dalle Linee Guida,  il DPIA dovrebbe essere condotto prima di procedere al trattamento dei dati. Dovrebbe quindi essere svolto preferibilmente già nella fase di progettazione di un'attività di trattamento dei dati.

Inoltre la Valutazione di Impatto dovrà essere un processo continuativo da mantenere attivo e aggiornato nel corso del tempo.

Anche se il compito di effettuare la Valutazione è del Titolare del trattamento, quest’ultimo può delegare il compito ad un soggetto interno o esterno l’azienda. 

Presta attenzione: nel caso in cui il Titolare del Trattamento all'interno della tua azienda delega la realizzazione del DPIA ad un soggetto esterno, non sarà escluso dalle sue responsabilità in merito a violazioni o irregolarità.

Resta sintonizzato per scoprire le ultime novità sul GDPR.

Keep Calm and Stay Compliant!

Vuoi scoprire tutte le potenzialità del software Winfatt? Clicca qui