DPIA: LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI PERSONALI

Obblighi e figure responsabili della DPIA

DPIA: la valutazione d'impatto sulla protezione dei dati personali
DPIA: la valutazione d’impatto sulla protezione dei dati personali

La valutazione di impatto sulla protezione dei dati personali (Data Protection Impact Assessment) – DPIA è un importante strumento per garantire e dimostrare la conformità del trattamento a quanto previsto dal GDPR.

A livello legislativo, la DPIA è una procedura prevista dall’articolo 35 del Regolamento UE 2016/679, e risulta fondamentale non solo per osservare i requisiti stabiliti, ma anche per evitare pesanti sanzioni per le imprese che non li rispettano.

La DPIA rappresenta un importante strumento di responsabilizzazione (principio di accountability) e non solo aiuta il titolare del trattamento a rispettare quanto previsto dal GDPR, ma anche ad attestare l’effettiva adozione delle misure idonee a garantire la sicurezza dei dati personali.

La DPIA, inoltre, non si esaurisce con l’attuazione della stessa (in fase di progettazione del trattamento), ma andrà costantemente aggiornata per garantire sempre la conformità del progetto.

CHIAMA SUBITO 0859116786

Quando è obbligatoria la DPIA?

La DPIA è obbligatoria in presenza di almeno due criteri di seguito elencati, anche se il titolare può decidere di condurre la valutazione allorché ne fosse presente solo uno:

  • trattamenti valutativi o di scoring su larga scala, compresi quelli che comportano la profilazione degli interessati;
  • decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessione di prestiti, stipula di assicurazioni, ecc.);
  • monitoraggio o controllo dei soggetti interessati (videosorveglianza);
  • trattamento su larga scala di dati estremamente personali;
  • trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici, che permettono di effettuare un controllo a distanza dell’attività dei dipendenti (es. videosorveglianza e geolocalizzazione);
  • dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  • utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (riconoscimento facciale, device IoT, ecc.);
  • trattamenti che comportano lo scambio, tra diversi titolari, di dati su larga scala con modalità telematiche;
  • trattamenti effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi quelli che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (mobile payment);
  • categorie particolari di dati ai sensi dell’art. 9 o relativi a condanne penali e a reati di cui all’art. 10, interconnessi con altri dati personali raccolti per finalità diverse;
  • trattamenti sistematici di dati biometrici, trattati per identificare univocamente una persona fisica;
  • trattamenti sistematici di dati genetici.

Le figure responsabili

La responsabilità della valutazione di impatto sulla protezione dei dati personali è del Titolare del trattamento, che però può comunque delegarne la realizzazione a una figura interna o esterna all’organizzazione.

Il titolare del trattamento può consultarsi con il Responsabile della protezione dei dati e, se i trattamenti lo richiedono, potrà acquisire il parere di esperti di settore, del Responsabile della sicurezza dei sistemi informativi e del Responsabile IT.

L’art.35 del GDPR, al paragrafo 7, elenca inoltre i contenuti minimi che devono essere inclusi in una valutazione di impatto sulla protezione dei dati.

In particolare:

  • una descrizione dei trattamenti previsti e delle finalità del trattamento;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi e dimostrare la conformità al regolamento.
  • una valutazione della necessità e proporzionalità dei trattamenti, in relazione alle finalità;

Nella valutazione, infine, è fondamentale il rispetto dei codici di condotta menzionati all’art. 40 del regolamento europeo sulla privacy.

Contattaci

Hai trovato i servizi integrati di consulenza e formazione di cui hai bisogno?

Se vuoi ricevere maggiori informazioni o se hai dubbi in merito ai servizi integrati di consulenza e formazione puoi contattare la SF Business Advisor

Entro 24 ore riceverai la soluzione ideale allo sviluppo della tua Impresa inerente la tua richiesta.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *