DPIA: cos’è la valutazione di impatto sulla protezione dei dati

• Con DPIA si intende valutazione di impatto sulla protezione dei dati, che serve per individuare i rischi che possono derivare dalla violazione delle regole sul trattamento.
• La disciplina è contenuta nel Regolamento europeo sulla Privacy 2016, il GDPR, che si occupa della tutela dei dati personali.
• La DPIA consente al titolare del trattamento di predisporre misure per prevenire eventuali conseguenze dannose.

La disciplina del DPIA è molto complessa, come tutto ciò che riguarda la disciplina della privacy e del trattamento dei dati personali. La complessità deriva dal bisogno di bilanciare più fattori, da un lato l’esigenza di imprese, aziende e enti pubblici di impiegare dati personali, dall’altro, quella del cittadino di non veder violato il proprio diritto alla riservatezza.

Nel seguente articolo, ti daremo una breve descrizione della disciplina del DPIA (Data protection impact assessment), cioè del sistema per la valutazione di impatto sulla protezione dei dati.

Ti spiegheremo a cosa serve e come deve essere realizzato, stabilendo il contenuto del documento e le fasi per la sua elaborazione. Inoltre, ti indicheremo anche quando è facoltativo e quando, invece, deve essere necessariamente redatto dal titolare del trattamento dati.

Che cos’è la DPIA?

L’acronimo DPIA sta per Data protection impact assessment,, ovvero la valutazione di impatto sul trattamento dei dati personali.

Il titolare del trattamento dati, ossia il soggetto che è autorizzato alla gestione e utilizzo dei dati, a vario titolo, è tenuto a effettuare una valutazione quando intende:

• adottare nuove tecnologie che comportano l’utilizzo di dati personali;
• ove vi sia un rischio elevato per i diritti e le libertà delle persone fisiche.

L’obbligo di DPIA sussiste anche nell’ipotesi in cui il titolare voglia realizzare la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Tramite tale valutazione si va ad effettuare un giudizio prognostico sui possibili rischi in caso di violazione e delle relative conseguenze. Quindi si va a verificare cosa accade in caso di violazione delle regole sul trattamento dei dati.

In genere, questa valutazione è effettuata dalle aziende, ma non di rado anche gli enti pubblici provvedono alla valutazione, anche perché spesso sono chiamati a gestire i dati personali altrui.

La DPIA può essere redatta da un soggetto interno all’ente oppure anche da parte di un soggetto esterno all’azienda stessa. Talvolta, questa seconda scelta è anche preferibile, giacché potrebbe essere necessario avere specifiche competenze per svolgere la suddetta valutazione. Comunque, il titolare sarà tenuto a vigilare sull’attività di redazione e valutazione dei rischi.

A questo proposito, potrebbe interessarti anche Quando è obbligatoria l’informativa sulla privacy

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza

Quando è necessaria la DPIA?

In alcuni casi, la DPIA deve essere effettuata necessariamente. In genere, l’obbligo di DPIA sussiste ogniqualvolta il trattamento dati possa arrecare un pregiudizio a diritti della personalità.

Per esempio, si procede alla valutazioni dei dati nei seguenti casi:

• una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche;
• il trattamento, su larga scala, di categorie particolari di dati, di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
• la sorveglianza sistematica di una zona accessibile al pubblico su larga scala.

Potresti anche essere interessato a leggere: Normativa sui cookies: come adeguarsi

Casi in cui la DPIA non è necessaria

Oltre ai predetti casi, in cui tendenzialmente la DPIA è obbligatoria, può comunque essere effettuata in ogni altro caso. Non è invece necessaria nelle seguenti ipotesi, se il trattamento:

• non “può comportare un rischio elevato per i diritti e le libertà di persone fisiche”.
• è molto simile ad altro trattamento per cui è già stata condotta una DPIA. In casi del genere, si possono utilizzare i risultati della DPIA per trattamenti analoghi;
• è stato sottoposto a verifica da parte di un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non hanno subito modifiche;
• trova la propria base legale nel diritto dell’Ue o di uno Stato membro – la base legale in questione deve disciplinare lo specifico trattamento, ed è già stata condotta una DPIA all’atto della definizione della base giuridica suddetta (art. 35, paragrafo 10), tranne ove uno Stato membro abbia previsto la necessità di condurre una DPIA per i trattamenti pregressi.

L’art. 35 del Regolamento sulla Privacy prevede poi un ulteriore elenco di trattamenti che non sono soggetti ad obbligo di DPIA, ossia i trattamenti conformi alle condizioni specificate dalla singola autorità, in particolare attraverso linee-guida, decisioni o autorizzazioni specifiche, norme di conformità, ecc.

Potresti trovare interessante anche il seguente articolo: Wokefishing: cos’è e come difendersi

Cosa deve contenere una DPIA?

Le modalità per procedere alla valutazione di impatto sul trattamento dei dati è disciplinata dal Regolamento europeo del 2016, il c.d. GDPR.

In particolare, nell’allegato n. 2, è descritto in maniera pedissequa come si procede alla valutazione. Dovranno essere seguite 4 fasi:

1. descrivere sistematicamente il trattamento;
2. valutare la necessità e la proporzionalità del trattamento in relazione alle finalità;
3. gestire i rischi per i diritti e le libertà degli interessati;
4. coinvolgere il DPO ed eventualmente gli interessati. 

Tutte le fasi dovranno poi essere documentate in modo analitico. Nel documento dovranno essere indicate anche le misure che si intendono adottare per prevenire eventuali rischi includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

L’attività di valutazione dell’impatto sulla protezione dei dati deve essere effettuata in tre step successivi:

• 1) Definizione del contesto: “tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento e delle fonti di rischio”;
• 2) Valutazione dei rischi: si dovrà “valutare la particolare probabilità e gravità del rischio elevato”;
• 3) Gestione dei rischi: sarà necessario “attenuare tale rischio”, “assicurando la protezione dei dati personali” e “dimostrando la conformità al regolamento”.

Potrebbe interessarti anche leggere: TikTok: restrizioni UE e USA per il legame tra il social network e il Governo cinese

1) Definizione del contesto

In primo luogo, il titolare del trattamento dati, ai fini del DPIA, deve procedere a stabilire qual è il contesto di riferimento.

Quindi, è necessario:

• individuare la natura, l’ambito di riferimento, il contesto e le finalità del trattamento;
• le tipologie di dati utilizzati;
• il periodo di conservazione dei dati;
• come vengono conservati i dati se su hardware, tramite software, persone, cartaceo, ecc.

Ti consigliamo anche di leggere: Cyberstalking: in cosa consiste e come difendersi

2) Valutazione dei rischi

Nella seconda fase, il titolare del trattamento dei dati deve procedere alla valutazione dei possibili rischi futuri. In primo luogo, sarà necessario valutare gli scopi del trattamento dati: a tal fine, sarà anche opportuno individuare le norme che regolano il trattamento dati, anche a livello europeo.

Sarà, inoltre, essenziale individuare i presupposti che rendono lecito il trattamento, che sono quelli stabiliti dall’art. 6 GDPR, che sono:

• interessati ai fini della videosorveglianza per la sicurezza urbana – come indicato alla lettera e);
• rilevanti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, che, in base all’art. 6, par. 3 del GDPR, deve essere indicato da una norma eurounitaria o nazionale.

Infine, in base al principio di minimizzazione dei dati, si deve stabilire se quel trattamento e l’utilizzo di specifici dati sia necessario allo scopo perseguito. 

Ti consigliamo anche di leggere: Registro Pubblico delle Opposizioni per bloccare le chiamate indesiderate: come funziona

3) Gestione dei rischi

Una delle fasi principali della valutazione del potenziale di rischi è quella della gestione. Tuttavia, è opportuno che, chi è chiamato ad adempiere a tale attività, abbia una serie di competenze specifiche. Per questa ragione, consigliamo di contattare un professionista esperto nella valutazioni delle gestione dei rischi.

In questa fase, bisogna valutare il rischio, quindi comprenderne la natura, l’origine, la gravità e le possibili conseguenze nel caso in cui sia posta in essere la violazione. Le condotte che possono causare il rischio sono accesso illegittimo, modifica indesiderata e scomparsa dei dati.

I rischi che si possono concretizzare sono poi di tre tipi:

1. perdita di riservatezza;
2. perdita di integrità;
3. perdita di disponibilità.

Ti consigliamo anche di leggere: Telemarketing e codice di condotta AGCOM: stop alle telefonate illecite

Cosa deve fare il titolare del rischio?

Il titolare del trattamento dati, ai fini della DPIA, deve individuare le fonti di rischio, cioè:

• comprendere e valutare l’impatto potenziale per i diritti e le libertà degli interessati in caso di eventi che includono l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati (che possono comportare quindi perdita di riservatezza, di integrità e di disponibilità);
• definire possibili minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati nonché valutare la loro probabilità (probabilità di occorrenza della minaccia);
• valutare quindi il rischio, combinando l’impatto e la probabilità di accadimento della minaccia;
• determinare le misure previste per gestire tali rischi.

Potresti trovare interessante anche il seguente articolo: Diritto alla Privacy: cos’è e quando si considera violata?

Valutazione di impatto sulla protezione dei dati – Domande frequenti

Vuoi una consulenza legale sull'argomento? Chiedi Gratis ad un Avvocato

• +3000 avvocati pronti ad ascoltarti
• Consulenza Legale Online - Telefonica, in webcam, scritta o semplice preventivo gratuito
• Anonimato e Riservatezza - La tua consulenza verrà letta solo dall'avvocato che accetterà di rispondere

Richiedi una Consulenza