La valutazione d’impatto sulla protezione dei dati personali (Dpia) è uno strumento per prevedere i rischi legati al trattamento dei dati
adv

La valutazione d’impatto sulla protezione dei dati personali, detta anche Dpia, è uno strumento grazie al quale le aziende possono efficacemente prevedere i rischi derivanti dal trattamento di determinate informazioni e conseguentemente adottare tutte le opportune misure tecniche e organizzative

La Dpia rappresenta una delle pietre miliari del quadro normativo introdotto dal GDPR. La valutazione d’impatto è strumento tecnico attraverso il quale può estrinsecarsi il cosiddetto principio di accountability (principio di responsabilizzazione).

Cos’è e a cosa serve il documento di valutazione d’impatto?

Questo strumento serve alle aziende per stabilire il grado di rischio e l’impatto che avrebbe il trattamento di determinati dati personali (considerati dall’ordinamento particolarmente sensibili e per questo meritevoli di maggior tutela) sulle libertà e sui diritti degli interessati e  contestualmente di adottare tutte le misure tecniche ed organizzative per ridurre tale impatto. Ai sensi dell’articolo 35 del nuovo Regolamento europeo sulla privacy, infatti, ogni titolare di trattamento è obbligato alla redazione della Dpia prima dell’inizio di qualsiasi attività. Per di più, nel caso in cui dal documento risulti che le misure tecnico-organizzative adottate non siano sufficienti a mitigare l’impatto dello stesso o i suoi possibili rischi, nasce in capo alle aziende un’ulteriore obbligo di consultazione dell’Autorità di controllo.

Chi deve redigere il documento?

I soggetti designati alla redazione della Dpia sono il titolare del trattamento, coadiuvato dal responsabile della protezione dei dati, se designato.

Quando la redazione della Dpia è obbligatoria?

Da un’attenta lettura dell’art. 35 del GDPR si rileva che la redazione del documento di valutazione d’impatto è necessaria ogni qualvolta un trattamento può presentare un rischio elevato per i diritti e le libertà degli interessati. Oltre a quanto già previsto espressamente dal GDPR, secondo le linee guida redatte dal Gruppo di lavoro Art. 29 al verificarsi di almeno due dei seguenti condizioni scatterebbe comunque per le aziende l’obbligo di redazione del Dpia. In particolare per:

  • I trattamenti valutativi o di scoring, compresa la profilazione;
  • Le decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
  • Il monitoraggio sistematico (es: videosorveglianza);
  • Il trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
  • I trattamenti di dati personali su larga scala;
  • La combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
  • I dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
  • Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
  • Trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

Per approfondimenti si rimanda al sito ufficiale del Garante della Privacy https://www.garanteprivacy.it/regolamentoue/DPIA

Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.