La DPIA, acronimo di Data Protection Impact Assessment, è una valutazione preliminare, eseguita dal titolare del trattamento dei dati personali, relativa agli impatti a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati.
In linea con quanto affermato dal Reg. Eu 679/2016, non è obbligatorio svolgere una Dpia per ciascun trattamento. In particolare, è necessario realizzare una valutazione di impatto sulla protezione dei dati soltanto quando la tipologia del trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 del Reg. Eu 679/2016).
OBBLIGO DPIA
Ai sensi dell’art. 35, comma 3 del Reg. Eu 679/2916, è necessario effettuare la valutazione di impatto ovvero:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- il trattamento, su larga scala, di categorie particolari di dati personali (articolo 9 del GDPR) o di dati relativi a condanne penali e a reati (cfr. articolo 10 del GDPR);
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Tale elenco, comunque, non può considerarsi esaustivo.
L’obbligo di effettuare una DPIA grava sul titolare del trattamento, il quale, tra l’altro, ha l’obbligo di effettuare un controllo periodico. Il titolare, per lo svolgimento di queste attività, può avvalersi anche di altri soggetti, interni o esterni, all’organizzazione con funzione consulenziale. In base al principio di accountability, il titolare è tenuto a controllare che siano coinvolti soggetti competenti in merito alle attività da attuare al fine di definire compiutamente l’elaborato conclusivo. Tra questi soggetti, ove nominato, riveste un ruolo fondamentale il DPO che dovrà sorvegliare le operazioni e su richiesta del titolare dovrà predisporre un parere.
La valutazione di impatto deve contenere almeno:
– la descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso la base giuridica (quindi l’eventuale interesse legittimo) utilizzata dal titolare);
– la valutazione della necessità e proporzionalità del trattamento in relazione alla finalità;
– la valutazione dei rischi per i diritti e le libertà degli interessati;
– le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
COME EFFETTUARE LA DPIA?
Le fasi generalmente necessarie per completare una DPIA sono le seguenti:
– Raccolta informazioni: dal DPO, dai vari dipartimenti (in particolare quello della sicurezza), ma anche dai clienti (o associazioni di categoria).
– Descrizione dei trattamenti: descrizione delle finalità, delle categorie di persone e dati coinvolti, delle basi giuridiche e valutazione della proporzionalità dei trattamenti.
– Data Flow: essenziale è una descrizione del flusso dei dati, utile in formato diagramma, per capire quali problemi possono sorgere e dove è possibile (o necessario) intervenire.
– Revisione dei principi e dei diritti: principi del GDPR e diritti dell’interessato devono sempre essere tenuti in considerazione per valutare se e come i trattamenti incidono su di essi.
– Identificazione dei rischi: e conseguente valutazione delle misure per minimizzare o eliminare tali rischi.
– Realizzazione del rapporto: il tutto va documentato in un rapporto.
– Consultazione preventiva: nei casi in cui non si riece a stabilire misure per mitigare i rischi occorre rivolgersi preventivamente all’Autorità di controllo (prior consultation).
– Revisione e fima: il rapporto finale va sottoposto a revisione dalle parti coinvolte, e poi firmato dal titolare del trattamento.
– Implementazione: il Titolare dovrà porre in essere i suggerimenti emersi dal rapporto (o dalla consultazione del Garante) per minimizzare o eliminare i rischi dei trattamenti.
– Eventuale pubblicazione: a fini di trasparenza può essere utile pubblicare il rapporto, ovviamente depurato dalle parti sensibili per l’azienda. Non è un obbligo per i privati.
Le sanzioni in caso di mancata o errata DPIA
La mancata conduzione di una DPIA obbligatoria o il suo non corretto svolgimento può comportare l’irrogazione di una sanzione amministrativa pecuniaria pari a un importo fino a 10 milioni di Euro oppure, nel caso di impresa, pari a fino al 2% del fatturato annuo globale dell’anno precedente, qualora tale importo risulti superiore.
Area Privacy Meleam
Vuoi una consulenza gratuita in tema Privacy? contatta Meleam al 800 621 247.