LA VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI

LA VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI
LA VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI

La Valutazione di impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment) è una procedura intesa a descrivere il trattamento dei dati, valutarne la necessità e la proporzionalità, inoltre contribuisce ad individuare e gestire i rischi per i diritti e le libertà delle persone fisiche che derivano dal trattamento dei dati personali.

La DPIA consente al Titolare del trattamento di analizzare in modo sistematico come un nuovo trattamento, una nuova tecnologia, o un nuovo progetto possa avere un impatto sui diritti e le libertà degli interessati e individuare, con un approccio privacy by design & by default (a partire dalla progettazione), quali misure implementare per la tutela di quest’ultimi.

L’art. 35 Reg. UE 2016/679 GDPR prevede che la DPIA sia obbligatoria in caso di trattamenti che per natura, oggetto, contesto e finalità, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Perché è importante?

La valutazione di impatto sulla protezione dei dati è uno strumento importante in termini di responsabilizzazione in quanto aiuta il Titolare del trattamento ad attestare di aver adottato tutte le misure idonee a garantire il rispetto di tali prescrizioni. In altri termini, la DPIA è una procedura che permette di valutare e verificare la conformità con le norme in materia di protezione dei dati personali.

Chi ha l’obbligo di effettuare la DPIA?

Il Titolare del trattamento è colui che deve assicurarsi che la DPIA sia eseguita. L’esecuzione della DPIA può essere effettuata anche da un’altra persona all’interno o all’esterno dell’organizzazione, tuttavia il titolare rimane in ultima analisi il responsabile di tale compito.

Il Titolare deve anche chiedere il parere del Responsabile del trattamento dei dati (DPO – Data Protection Officer) se designato, e tale parere oltre alle altre decisioni prese dal titolare devono essere documentati nella DPIA. Il DPO dovrebbe inoltre monitorare l’andamento della DPIA.

Quando la DPIA è obbligatoria?

La DPIA è “obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone”, per esempio quando avviene con l’uso di nuove tecnologie. In particolare, il regolamento individua 9 casi specifici:

  • Valutazione o attribuzione di un punteggio, inclusa la profilazione e la previsione, in particolare di aspetti riguardanti le prestazioni del soggetto interessato sul lavoro, situazione economica, salute, preferenze o interessi personali, affidabilità o comportamento;
  • Decisioni automatizzate che producono significativi effetti legali o simili (assunzioni, concessioni di prestiti, stipula di assicurazioni);
  • Il monitoraggio sistematico (videosorveglianza);
  • Trattamento di dati sensibili, giudiziari o di natura estremamente personale (come le opinioni politiche);
  • Trattamento dati personali su larga scala;
  • Trattamento di Big Data;
  • Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo);
  • Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, ecc.);
  • Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento.

Quando la DPIA non è obbligatoria?

La DPIA non è necessaria per i trattamenti che:

  • Non presentano rischio elevato per diritti e libertà delle persone fisiche;
  • Hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;
  • Sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del maggio 2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;
  • Sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;
  • Fanno riferimento a norme e regolamenti, Ue o di uno stato membro, per la cui definizione è stata condotta una DPIA.

Contattaci

Per avere maggiori informazioni circa la Valutazione di impatto sulla protezione dei dati contatta la SF Business Advisor

Sarai ricontattato al massimo entro 24 ore con la soluzione ideale allo sviluppo della tua impresa inerente alla tua richiesta.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *