Protezione dati

Data Protection: la valutazione di impatto (DPIA) prevista dal GDPR

Dal 25 maggio 2018, giorno di applicazione del nuovo regolamento UE sulla privacy, per la corretta gestione del trattamento e della sicurezza dei dati personali vanno valutati i rischi delle violazioni e le possibili conseguenze. Ecco cosa prevede il testo, appena approvato in via definitiva, relativo al “Data protection impact assessment” (DPIA)

Pubblicato il 31 Ott 2017

Marco Catalano

data-protection-firewall-171023153358

La data protection impact assessment (DPIA), la valutazione d’impatto in caso di violazione della Data Protection, è stata definita da Gruppo di Lavoro del GDPR (WP29) lo scorso 4 ottobre 2017 (qui il testo definitivo doc. WP248rev.01). Come ben noto agli “addetti ai lavori”, dal 25 maggio 2018, primo giorno di piena applicazione del GDPR, il Regolamento UE sulla data protection n. 2016/679, la corretta gestione del trattamento e della sicurezza dei dati personali dovrà tenere conto della DPIA.

Cos’è il Data protection Impact Assessment (DPIA) e quando è obbligatorio

Premettiamo sin da subito come la DPIA altro non sia che una valutazione preliminare degli impatti a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati. Tale valutazione deve tenere in conto sia del grado di rischio che il trattamento possa presentare per i diritti e le libertà delle persone fisiche, sia del grado di innovatività della tecnologia con cui viene effettuato il trattamento. In tal senso, una corretta DPIA, così come ribadito dal Gruppo di Lavoro, può essere utile per valutare l’impatto sulla protezione dei dati elaborati attraverso una particolare tecnologia, ad esempio una componente hardware o software.

Inoltre così come sottolineato dalle recenti Linee Guida nonché dal Garante per la Protezione dei Dati personali nella Guida all’applicazione del Regolamento europeo), una singola DPIA potrebbe essere utilizzata per valutare molteplici operazioni di trattamento che sono simili in termini di rischi presentati. Pertanto, compito del Titolare del Trattamento, utilizzando un “risk-based approach”, sarà quello (prima che i dati vengano trattati) di individuare, nello specifico, l’origine, la natura, la probabilità e la gravità del rischio, l’ambito di applicazione, il contesto e le finalità del trattamento stesso in quanto più è elevata la rischiosità del dato, più alte sono le conseguenze in termini d’impatto con l’interessato.

Ciò può consentire al Titolare, mediante anche la consultazione del Data Protection Officer e dei responsabili del trattamento, di poter identificare le misure appropriate per minimizzare i rischi ed adottare costantemente (tenuto conto dello stato dell’arte) ogni misura tecnica, giuridica ed organizzativa in quanto una semplice variabilità del rischio potrebbe generare ulteriori attività da svolgere.

Le Linee Guida offrono ulteriori precisazioni tra cui, a titolo esemplificativo: un elenco di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazione d’impatto deve ritenersi obbligatoria nonché un elenco di operazioni di trattamento rispetto alle quali la valutazione d’impatto non è necessaria; criteri comuni aventi ad oggetto sia la metodologia da adottare per l’effettuazione della valutazione d’impatto sia la definizione dei casi in cui è necessario consultare l’Autorità di controllo; raccomandazioni sulla base dell’esperienza acquisita negli Stati membri dell’UE.

* Senior Legal Consultant di P4I – Partners4innovation

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati