Come si farà a dimostrare la conformità al Gdpr e a valutare i rischi legati al trattamento dei dati? Con la Dpia. A chi spetta e quando è obbligatoria la valutazione d’impatto sulla protezione dei dati.

Non solo il Dpo, ma anche la Dpia. Tra gli obblighi previsti dal Regolamento generale in materia di protezione dei dati (Gdpr), che sarà pienamente efficace dal 25 maggio, non figura solamente il Data Protection Officer (Dpo), ma anche la valutazione d’impatto sulla protezione dei dati (Dpia – Data Protection Impact assessment). È un processo inteso a garantire e dimostrare la conformità al regolamento europeo e i rischi legati al trattamento dei dati.

La procedura è prevista dall’articolo 35 del Gdpr:

“Quando un tipo di trattamento, prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

Quando la Dpia è obbligatoria

Se il Dpo è obbligatorio per enti e aziende che effettuano il monitoraggio dei dati in modo regolare e sistematico su larga scala, la Dpia “è obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone”, per esempio quando avviene con l’uso di nuove tecnologie. In particolare il regolamento individua 9 casi specifici:

1. Trattamento valutativi o di scoring, compresa la profilazione.
2. Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni).
3. Il monitoraggio sistematico (videosorveglianza).
4. Trattamento di dati sensibili, giudiziari o di natura estremamente personale (come le opinioni politiche).
5. Trattamento dati personali su larga scala.
6. Trattamento di Big Data.
7. Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo).
8. Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, dispositivi IoT, ecc…).
9. Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

È sufficiente che sussistano due delle nove condizioni allora la Dpia è obbligatoria.

A chi spetta la Dpia

 La responsabilità della Dpia spetta al titolare del trattamento dei dati, anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione.

Quando va condotta la Dpia?

Prima di procedere al trattamento dei dati. Comunque dovrebbe essere previsto un riesame continuo della valutazione d’impatto sulla protezione dei dati.

Perché la Dpia?

Perché è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare del trattamento non soltanto a rispettare il Gdpr, ma anche ad attestare di aver condotto misure idonee a garantire il rispetto del regolamento.

La pagina dedicata al Dpia è disponibile sul sito del Garante privacy con tutte le informazioni e linee guida ed è in continuo aggiornamento.