Data Protection Impact Assessment (DPIA)
L’acronimo DPIA significa letteralmente Data Protecion Impact Assessment (ovvero Valutazione d’impatto della protezione dei dati).
Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza.
La valutazione di impatto ne è un esempio.
Data Protection Impact Assessment, che cos’è?
Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il Regolamento UE 679/2016 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti, cioè quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.
Le linee guida dl WP29 offrono alcuni chiarimenti sul punto; in particolare, precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento all´art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.
Il messaggio finale delle linee-guida (già sottoposte a consultazione pubblica) è che la valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l´altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.
GDPR e DPIA e conseguenze per le aziende
La mancata conduzione di una DPIA obbligatoria o il suo non corretto svolgimento può comportare l’irrogazione di una sanzione amministrativa pecuniaria pari a un importo fino a 10 milioni di Euro oppure, nel caso di impresa, pari a fino al 2% del fatturato annuo globale dell’anno precedente, qualora tale importo risulti superiore.
Quando è necessaria una valutazione d’impatto sulla protezione dei dati?
L’art 35 del Regolamento Europeo 679/2016 sulla protezione dei dati personali (GDPR) parla di valutazione d’impatto sulla protezione dei dati che deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. La stessa Autorità comunica tali elenchi al Comitato europeo per la protezione dei dati.
L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. Anche tali elenchi sono comunicati dall’Autorità al Comitato europeo per la protezione dei dati
Esempi di trattamenti necessariamente soggetti a DPIA
La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei seguenti casi:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche;
- il trattamento, su larga scala, di categorie particolari di dati di cui all’ articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
- la sorveglianza sistematica di una zona accessibile al pubblico su larga scala.
- Esempi in cui una DPIA non è necessaria
Il Gruppo di lavoro ritiene che una DPIA non sia necessaria nei casi seguenti:
- se il trattamento non “può comportare un rischio elevato per i diritti e le libertà di persone fisiche” (art. 35, paragrafo 1);
- Se la natura, l’ambito, il contesto e le finalità del trattamento sono molto simili a quelli del trattamento per cui è già stata condotta una DPIA. In casi del genere, si possono utilizzare i risultati della DPIA per trattamenti analoghi (art. 35, paragrafo 1);
- Se il trattamento è stato sottoposto a verifica da parte di un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non hanno subito modifiche;
- Se un trattamento, conformemente con la lettera c) o e) dell’ 6 paragrafo 1, trova la propria base legale nel diritto dell’Ue o di uno Stato membro, la base legale in questione disciplina lo specifico trattamento, ed è già stata condotta una DPIA all’atto della definizione della base giuridica suddetta (art. 35, paragrafo 10), tranne ove uno Stato membro abbia previsto la necessità di condurre una DPIA per i trattamenti pregressi.
- Se il trattamento è compreso nell’elenco facoltativo (redatto dall’autorità di controllo ai sensi dell’ art. 35 paragrafo 5), dei trattamenti per i quali non è necessario procedere alla DPIA. Tale elenco può riguardare trattamenti conformi alle condizioni specificate dalla singola autorità, in particolare attraverso linee-guida, decisioni o autorizzazioni specifiche, norme di conformità, ecc.
Chi conduce la DPIA?
Spetta al titolare garantire l’effettuazione della DPIA (art. 35, paragrafo 2). La conduzione materiale della DPIA può essere affidata a un altro soggetto, interno o esterno all’organismo; tuttavia, la responsabilità ultima dell’adempimento ricade sul titolare del trattamento.
Il titolare deve consultarsi con il responsabile della protezione dei dati (RPD/DPO), ove designato (art. 35, paragrafo 2); tale consultazione e le conseguenti decisioni assunte dal titolare devono essere documentate nell’ambito della DPIA. Il RPD è chiamato anche a monitorare lo svolgimento della DPIA (art. 39, paragrafo 1, lettera 1).
Come si conduce la Data Protection Impact Assessment?
Di seguito le fasi da seguire per completare con successo una valutazione d’impatto (DPIA):
- Pianificazione delle attività: si costituisce il gruppo di lavoro, condividendo gli obiettivi generali e di dettaglio e pianificando le attività (task, tempi, risorse da coinvolgere);
- Raccolta delle informazioni: si acquisiscono dati e informazioni necessari per il raggiungimento degli obiettivi, mediante interviste e raccolta di documenti, confrontandosi con il Data Protection Officer (DPO) e gli uffici e i dipartimenti coinvolti;
- Analisi dei dati e descrizione dei trattamenti: una volta terminata la fase di raccolta delle informazioni, si avvia la fase di analisi con l’obiettivo di individuare e descrivere finalità, categorie di interessati e di dati coinvolti, basi giuridiche del trattamento;
- Data Flow: per meglio valutare i profili critici del trattamento, può essere molto utile la descrizione grafica (diagrammi) del flusso dei dati;
- Identificazione e valutazione dei rischi: terminata la fase di analisi e descrizione del trattamento, si passa all’individuazione delle criticità in termini di rischi per i diritti e le libertà degli interessati e, alla luce dei principi del GDPR, si valutano le necessarie misure per eliminare o quantomeno minimizzare tali rischi;
- Revisione delle valutazioni effettuate: l’esito dell’analisi e delle valutazioni potranno eventualmente essere oggetto di revisione da parte dei soggetti coinvolti nella DPIA, anche in funzione del parere espresso del DPO, se nominato;
- Implementazione delle misure di mitigazione: all’esito dell’analisi e delle valutazioni, il titolare del trattamento dovrà attuare le misure individuate al fine di gestire e minimizzare i rischi.
Contenuto della DPIA (contenuto minimo)
La valutazione contiene almeno:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l’interesse legittimo perseguito dal titolare del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati ;
- le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Se vuoi ricevere una consulenza, contattaci senza impegno. Un nostro esperto in consulenza privacy a Udine saprà fornirti le informazioni di cui hai bisogno.