La valutazione d'impatto sulla protezione dei dati

La DPIA (articolo 35 del Regolamento) sostituisce l’art. 17 del D. Lgs. 196/2003 (oggi abrogato dal D. Lgs. 101/2018) che prevedeva l’obbligo di preventiva comunicazione all’Autorità Garante nei casi in cui il trattamento presentasse rischi specifici.

Cos’è la DPIA

Prima di comprendere il significato della DPIA occorre fare una premessa. Il regolamento ha introdotto i principi di “proporzionalità” e di “accountability” (responsabilizzazione); tali principi sanciscono, rispettivamente, che:

• il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali;
• il Titolare del trattamento è tenuto a proteggere i dati fin dalla progettazione, mediante misure tecniche e organizzative (By Design) ed a predisporre misure tecniche e organizzative adeguate al fine di garantire, per impostazione predefinita, il trattamento dei soli dati necessari per le specifiche finalità del trattamento

La valutazione d’impatto è uno strumento importante ai fini della corretta applicazione ed attuazione del principio di “accountability”.

Secondo quanto indicato dal WP29 (oggi EDPB – European Data Protection Board) la valutazione di impatto sulla protezione dei dati è un aspetto fondamentale del rispetto del regolamento laddove si preveda di svolgere, o si stia svolgendo, un trattamento di dati soggetto a rischio elevato.

Per rischio deve intendersi lo scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità. La “gestione dei rischi”, invece, può essere definita come l’insieme delle attività coordinate volte a indirizzare ed a coordinare un’organizzazione in relazione ai rischi.

Le “Linee guida in materia di valutazione di impatto sulla protezione dei dati e determinazione delle possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679”, adottate dal WP29 in data 4 aprile 2017 e modificate il 4 ottobre 2017, n. 17/IT Wp 248 rev. 01, forniscono uno strumento valido di interpretazione del Regolamento. Se vuoi approfondire trovi le linee guida del WP29 al seguente link.

Quando deve essere effettuata e casi in cui è obbligatoria

La valutazione d’impatto sulla protezione dei dati va eseguita “prima del trattamento”; deve essere considerata come uno strumento atto a contribuire al processo decisionale in materia di trattamento e avviata il prima possibile, nella c.d. “fase della progettazione del trattamento”, anche se alcune delle operazioni del trattamento non sono ancora note

Il Provvedimento dell’Autorità Garante n. 467 dell’11.1.0.2018, (Allegato 1 )(G.U. n. 269 del 19.9.2018) indica le tipologie di trattamento e i casi obbligatori di svolgimento della DPIA.

Per brevità diciamo che la DPIA deve essere svolta dalla P.A. o da società, imprese, organizzazioni  che operano nei settori sanitario, assicurativo, bancario, delle telecomunicazioni e quando il trattamento dei dati riguarda la profilazione, anche attraverso utilizzo di app, la videosorveglianza, la geolocalizzazione, l’uso di tecnologie innovative, i soggetti c.d. vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo), dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse.

 Chi deve eseguirla

Il titolare del trattamento dei dati, con la consulenza del DPO (se designato). Nel seguente articolo puoi trovare un approfondimento sul ruolo del DPO.

Avvalendosi di Professionisti in grado di utilizzare gli strumenti oggi disponibili (Tools). La CNIL (Autorità Garante Francese) ha messo gratuitamente a disposizione un Tools che può anche essere scaricato direttamente dal seguente link

 Cosa è importante fare

Quando le tipologie di trattamento sono state verificate da un’autorità di controllo prima del maggio 2018 in condizioni specifiche e tali condizioni non sono cambiate, non è necessario eseguire una DPIA (considerando 171 cfr nota 3). Tuttavia, qualsiasi mutamento delle precedenti condizioni di attuazione (ambito di applicazione, finalità, dati personali raccolti, identità dei titolari del trattamento o dei destinatari, periodo di conservazione dei dati, misure tecniche e organizzative) rispetto alla prima verifica effettuata dall’autorità di controllo richiedono una nuova valutazione d’impatto sulla protezione dei dati.

Altri casi sono l’uso di una nuova tecnologia o utilizzo dei dati per una finalità diversa.

Buone prassi in materia di DPIA

Non sussiste un obbligo giuridico di pubblicazione della DPIA,

La pubblicazione di una sintesi o della conclusione della valutazione di impatto, effettuata attraverso una dichiarazione che la valutazione è stata eseguita, potrebbe avere, tuttavia, impatto positivo nei confronti dell’opinione pubblica.

Buone prassi sono anche quelle di consultare esperti indipendenti che svolgono professioni diverse (esperti informatici, esperti di sicurezza, avvocati, sociologi, esperti di etica e altri) e la revisione sistematica e regolare della DPIA.

Ad esempio anche nei casi in cui vi sia una riduzione del rischio (attività di monitoraggio che non venga più eseguita in maniera sistematica o decisioni che non sono più automatizzate).