DPIA – DATA PROTECTION IMPACT ASSESSMENT

DPIA – DATA PROTECTION IMPACT ASSESSMENT Cos’è la valutazione d’impatto prevista dal GDPR Il DPIA è l’istituto della valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assesment) previsto dal GDPR, il nuovo regolamento privacy che entrerà in vigore il 25 maggio 2018. Il suo compito è...

1565 0

DPIA – DATA PROTECTION IMPACT ASSESSMENT

Cos’è la valutazione d’impatto prevista dal GDPR

Il DPIA è l’istituto della valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assesment) previsto dal GDPR, il nuovo regolamento privacy che entrerà in vigore il 25 maggio 2018. Il suo compito è di aiutare le organizzazioni a identificare e valutare – mitigando o minimizzando –  i rischi connessi al trattamento dei dati sensibili attraverso l’attività di elaborazione.Si tratta di uno strumento essenziale che ruota attorno al processo di responsabilizzazione (accountability principle) ed è uno dei punti cardine del nuovo regolamento privacy europeo.

La valutazione dei rischi deve tenere conti di due fattori:

dpia
  • il grado di rischio che il trattamento può presentare per i diritti e le libertà delle persone fisiche;

  • Il grado di innovatività della tecnologia con la quale si effettua lo stesso trattamento.

Il responsabile del DPIA

Il Titolare del Trattamento è la figura su cui ricadono le responsabilità della valutazione d’impatto. Egli può decidere di condurre quest’ultima sia all’interno della propria organizzazione che all’esterno.
In questo processo, come previsto dal Regolamento, è di capitale importanza il confronto con il DPO (Data Protection Offìicer) e con i responsabili del trattamento: tutte queste figure devono fornire adeguato aiuto al Titolare.

 

Quando è obbligatorio il DPIA

L’esame della obbligatorietà della valutazione d’impatto è il primo step di cui tener conto quando si affronta un’analisi dei rischi privacy. I fattori principali che determinano il vincolo di valutazione sono l’estensione e il contesto del trattamento, il numero di soggetti coinvolti e la natura dei dati.

Tenendo fede al regolamento (art 35, comma 3) sono tre i casi in cui è obbligatorio redigere un DPIA:

– una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato;

– un trattamento, su larga scala di categori particolari di dati personali o di dati relativi a condanne penali e a reati;

    – una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

 

Cosa fare in caso di obbligatorietà

Il passo successivo, una volta stabilito l’obbligo di redazione del DPIA, è la ricognizione sistematica dei trattamenti a rischio elevato. In sostanza si tratta di individuare solo quei trattamenti che, per la loro natura dipendente da fattori come oggeto,finalità, contesto e utilizzo di alcune tecnologie, potrebbero determinare un rischio lesivo delle libertà e dei diritti fondamentali dei soggetti interessati. Se ne deduce che non è necessario predisporre una valutazione d’impatto per tutti i trattamenti.

Elementi chiave di un DPIA di successo

Il GDPR e le linee guida non specificano un processo da seguire per la redazione di un DPIA, tuttavia consentono la creazione di un framework che consenta la stesura di una valutazione conforme ed efficace.

Riassumendo in pochi semplici punti, si tratta di seguire questi passaggi.

1. Identificare la necessità di un DPIA

2. Descrivere il flusso di informazioni

3. Identificare i rischi connessi al trattamento dei dati

4. Identificare soluzioni di protezione per minimizzare o mitigare i rischi

5. Documentazione delle decisioni assunte

6. Monitoraggio e revisione

 

In this article

Join the Conversation