DATA PROTECTION IMPACT ASSESSMENT (DPIA): PROFILI DEFINITIORI E CARATTERI DI OBBLIGATORIETA’

Tutti i Titolari del trattamento dati, secondo quanto prescritto dal GDPR devono adottare un approccio basato sul rischio, definito dai principi di Accountability e di privacy by design e by default. Al fine di soddisfare i requisiti enunciati nei suddetti principi è opportuno e necessario che i rischi vengano individuati, analizzati e ponderati al fine di adottare le contromisure piu’ idonee attraverso specifiche misure di sicurezza.

Tuttavia, in alcuni casi individuati dalla normativa di riferimento, tali operazioni non sono da sole sufficienti a garantire la sicurezza richiesta. Ecco che quindi si rende necessario effettuare valutazioni ulteriori, proprio attraverso lo strumento della DPIA, che permette di valutare l’impatto sui diritti delle persone fisiche interessate dal trattamento dei dati.

Tale attività, ove necessaria, è imprescindibile per tutti i Titolari che svolgono trattamenti di dati personali.

Ma non solo, la valutazione d’impatto può bensì estendersi a tutti i tipi di trattamento ed a tutte le circostanze, poiché si rivela essere utile strumento di supporto per individuare gli adempimenti da porre in essere per risultare GDPR Compliance nonché le misure di sicurezza adottate o da adottare per proteggere i soggetti “passivi” dei trattamenti dati effettuati.

La DPIA può riguardare sia un singolo trattamento sia un insieme di trattamenti simili o collegati. Un esempio su tutti quello di un gruppo di società diverse che intendano fare ricorso ad un medesimo processo per effettuare la stessa raccolta di dati personali per le medesime finalità. Tale concetto si applica anche ai casi in cui oggetto della valutazione sia un prodotto tecnologico, hardware o software.

Ad effettuare la DPIA deve essere il Titolare del trattamento. Tuttavia, la normativa prevede che tale adempimento possa essere anche affidato ad un soggetto esterno all’uopo individuato.

La DPIA è obbligatoria, ai sensi del par. 3 dell’art. 35 del GDPR nei seguenti casi:

1. valutazione sistematica e globale di aspetti personali, basta su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici;
2. trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
3. sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Tuttavia, questo elenco non è da considerarsi esaustivo.

Tutte le autorità di controllo hanno potuto redigere, ai sensi del par. 4 dell’art. 35, un elenco delle tipologie di trattamenti soggetti al requisito della valutazione d’impatto.

Il Garante Italiano ne ha individuati dodici nell’ « Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679» .

Rientrano, ad esempio; i trattamenti effettuati nell’ambito del rapporto di lavoro mediante geolocalizzazione o videosorveglianza;  gli screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi; i trattamenti valutativi o di scoring su larga scala; i trattamenti sistematici di dati biometrici e genetici.

In aggiunta, per valutare se effettuare o meno la DPIA, le Linee Guida del WP29 (WP248) offrono alcuni ulteriori chiarimenti ed indicazioni.

Nel caso in cui la DPIA non venga effettuata, pur in presenza di obbligo, il Titolare può essere soggetto a una sanzione amministrativa pecuniaria pari a un massimo di 10 milioni di euro oppure, se si tratta di un’impresa, pari al 2% del fatturato annuo globale. La quantificazione dell’importo varia in base a quale delle due cifre sia superiore.

In ogni caso, il Comitato Europeo per la Protezione dei Dati (gruppo che riunisci tutte le autorità nazionali) suggerisce di effettuare comunque la DPIA anche se non risulta chiaro dalle disposizioni se la valutazione d’impatto sia richiesta o meno.

Se vuoi saperne di piu’ o vuoi ricevere una consulenza gratuita per comprendere se anche nella tua azienda sia necessario effettuare una o piu’ valutazioni di impatto non esitare a contattarci!