Categorie

GDPR: DPIA, cos'è, chi riguarda, quando è obbligatoria

Per una corretta gestione dei dati personali e conformità alle disposizioni del GDPR, è necessaria una valutazione dei rischi derivanti da violazioni e le conseguenza possibili. 

Il Data Protection Impact Assessment "DPIA" è una prescrizione di fondamentale importanza nel GDPR ma anche abbastanza complesso e spinoso. In questa sede analizzaremo alcuni aspetti che riguardano: cos'è, chi riguarda, quando è obbligatoria

Che cos'è la DPIA (Data protection impact assestment)

Innanzitutto diciamo che la valutazione d’impatto in caso di violazione della protezione dei dati, è stata oggetto di analisi da parte del Gruppo di Lavoro del GDPR (WP29) che lo scorso 4 ottobre 2017 che ha redatto delle linee guida molto precise in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 (scarica qui il documento - WP 248 rev.01 - in formato .pdf).

In breve possiamo dire che la DPIA è una valutazione preliminare degli impatti, dei rischi, ai quali potrebbe essere esposto un trattamento nel caso di violazione delle misure di protezione dei dati. Tale valutazione terrà conto sia del grado di rischio per i diritti e le libertà delle persone fisiche derivanti dal trattamento, sia del grado di evoluzione tecnologica degli strumenti con cui viene effettuato il trattamento. In caso di molteplici operazioni di trattamento, simili in termini di rischi che presentano, la DPIA può essere unica.

Al fine di individuare le misure idonee a diminuire i rischi, il documento fissa solamente i criteri da seguire, e viene fatta una differenziazione tra le misure volte a ridurre il rischio e quelle finalizzate a dimostrare la conformità al Regolamento. 
La cosa che rileva maggiormente dalle linee guida è, tuttavia, la concezione che
la valutazione del rischio non è una attività singola ed unica nel tempo, ma un processo e un flusso costante.

Chi responsabile per la conduzione della valutazione d'impatto

Responsabile è il titolare del trattamento. Tale responsabilità non può essere delegata ad alcuno in nessun modo! La DPIA può essere condotta sia all'interno della organizzazione, azienda, con risorsse proprie, oppure affidata all’esterno. In ogni caso, è il titolare a rimanere responsabile che quindi è chiamato a vigilare attentamente. Fondamentale è la comunicazione e la continua consultazione con il responsabile della protezione dei dati Data Protection Officer (ne parleremo dettagliatamente nel prossimo articolo), dove previsto, e con i responsabili del trattamento. Questi ultimi hanno l'obbligo di fornire un adeguato supporto al titolare del trattamento nell’osservare tale adempimento.

Quindi il Titolare del Trattamento ha il compito, la responsabilità di individuare origine, natura, probabilità e gravità del rischio, nonchè l’ambito di applicazione, il contesto e le finalità del trattamento stesso, prima che i dati vengano trattati: quanto più è elevata la rischiosità del dato, tanto più alte possono essere le conseguenze in termini d’impatto. I riferimenti all'interno del Regolamento sono precisi e collocati in due norme diverse: l’art.24, che colloca l’analisi dei rischi fra le caratteristiche dei trattamenti di cui occorre tener conto per mettere in atto tutte le misure tecniche e organizzative adeguate e stabilisce che il titolare deve essere sempre in grado di dimostrare di aver adottato tutte le misure necessarie affinche il trattamento sia conforme al GDPR, e l’art. 35, che prevede invece una specifica valutazione di impatto quando i trattamenti, considerate le circostanze indicate nella norma, possono presentare rischi elevati per gli interessati. Inoltre, lo stesso art. 35, specifica i casi in cui è necessaria la valutazione di impatto, e ne determina procedure e le modalità da seguire oltre agli elementi da tenere in considerazione.

E' compito  del titolare dare conto delle valutazioni e delle determinazioni prese, nel documento scritto che costituisce la parte formale della DPIA.

Sempre all'interno del documento è opportuno indicare le strutture o i soggetti che hanno svolto l’analisi dei trattamenti e individuato le misure necessarie, se ci si sia affidati ad esperti esterni, il ruolo svolto dal responsabile del trattamento e quello che dovrà svolgere, gli eventuali suggerimenti ricevuti dal DPO se nominato.

Quando la DPIA è obbligatoria

Tre sono le ipotesi individuate dal Regolamento in cui la valutazione è obbligatoria, ma lascia alle autorità di controllo (Il Garante) il compito di redigere un elenco delle tipologie di trattamenti soggetti alla DPIA.
Art. 35, 3° comma del Regolamento:
"la valutazione d’impatto è obbligatoria in presenza di: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato; b) un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; o c) una sorveglianza sistematica su larga scala di una zona accessibile al pubblico".

Traduciamo meglio: rilevano, ai fini della obbligatorietà della valutazine d'impatto, l’estensione e il contesto del trattamento, il numero di soggetti interessati e la natura dei dati oggetto di trattamento.

All'interno delle Linee Guida possiamo trovare un elenco di operazioni di trattamento di dati personali per le quali l’effettuazione della valutazione d’impatto si ritiene obbligatoria ed uno per le quali non è necessaria.

Ulteriore importante precisazione riguarda il fatto che la DPIA, relativamente all’analisi dei rischi, va fatta sempre prima che il trattamento abbia inizio e va fatta rispetto a ciascun singolo trattamento. Ancora, nell'effettuare l'analisi dei rischi si dovrà porre attenzione anche alle componenti dei device (hardware) utilizzati.

Inoltre, qualora il titolare ritenga che il trattamento non comporti rischi elevati, dopo l'analisi, può decidere di non procedere oltre. Le linee guida non contengono indicazioni specifiche su questo punto, a conferma che il loro contenuto e il loro obiettivo è essenzialmente procedurale.

Alcune considerazioni finali

Come abbiamo detto, l’art.35 prevede inoltre che l'Autorità di controllo possa redigere e rendere pubblico un elenco delle tipologie di trattamenti per i quali obbligatoria la valutazione di impatto; se lo ritengono opportuno, potranno altresì redigere un elenco delle tipologie di trattamenti per i quali non è necessaria.

Infine, è importante ricordare che l’art.36 stabilisce l'obblogo di consultazione preventiva dell’Autorità di controllo quando il titolare ritienga che i trattamenti richiedano misure specifiche.

In conclusione diciamo che dalle linee guida del WP29 emerge che ogni trattamento deve essere analizzato dal titolare anche al fine di verificare se i rischi che ne derivano siano o no elevati.

Ne consegue che attraverso l’analisi, finalizzata all’accertamento del livello di rischio, solo il titolare può decidere se il rischio per i cittadini sia elevato o meno. Quindi  prima di porre in essere un qualunque trattamento, è sempre necessaria l’analisi dei rischi che possono derivarne.

L'area "Regolamento Europeo Privacy" mette a tua disposizione una serie di approfondimenti su tutti gli aspetti della normativa per accompagnarti, con una serie di articoli, guide ed infografiche, fino al 25 maggio 2018 quando sarà definitivamente applicabile in tutti gli stati membri dell’Unione Europea il nuovo Regolamento.

Non perdere gli aggiornamenti: Iscriviti alla Newsletter dedicata!

ISCRIVITI ALLA NEWLETTER DEDICATA

Vuoi rivolgere ai nostri esperti le tue domande o esporre i tuoi dubbi? 
Inviaci la tua domanda cliccando sul bottone qui sotto: ti risponderemo!

RICHIEDI MAGGIORI INFORMAZIONI

Oppure inserisci un commento e condividi le tue riflessioni e le tue domande con gli altri utenti del blog.

Inserisci un nuovo commento

Ultime news

Tags

Informatore Informatico - Blog di In.Ser.T. srl in collaborazione con Martinelli spa e Pc Copia srl - Design by: In.Ser.T srl - Copyright 2016 - Privacy Policy

info@informatoreinformatico.it