Il regolamento europeo sulla protezione dei dati personali (GDPR) – entrato in vigore nel 2016 e pienamente applicabile dal 25 maggio 2018 – ha introdotto nuovi obblighi a cui le aziende devono adempiere per tutelare i cittadini e i loro dati personali.
Tra i doveri aziendali introdotti dal GDPR è prevista la redazione della data protection impact assessment (o DPIA). In questo articolo vedremo cos’è la protection impact assessment, quando deve essere effettuata e da chi, quali informazioni deve contenere, quali sono le conseguenze del mancato adempimento.
Se vuoi approfondire anche gli altri adempimenti obbligatori sanciti dal GDPR, sul nostro blog puoi scoprire come redigere il registro dei trattamenti e informativa privacy: cosa deve contenere.
Cosa si intentende per DPIA?
Per Data protection Impact Assessment si intende la valutazione dell’impatto sulla protezione dei dati, ossia il processo di valutazione con cui il titolare del trattamento descrive uno o più trattamenti dei dati effettuati, al fine di individuare i possibili rischi per i diritti e le libertà degli interessati e le corrispondenti misure per affrontarli.
Secondo l’articolo 35 del GDPR quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento ha l’obbligo di svolgere una valutazione dei rischi che potrebbero scaturire da tale trattamento.
In più, nel caso in cui al termine di tale assessment, vengano rinvenuti rischi elevati per i diritti e le libertà degli interessati, il titolare dovrà consultare l’Autorità di controllo, che provvederà a fornire un parere scritto solamente nel caso in cui il titolare del trattamento non avesse individuato le misure per attenuare il rischio.
Si tratta quindi di un’attività preventiva, che deve essere attuata prima della messa in atto del trattamento. E’ importante inoltre che tale documento venga continuamente riesaminato, con aggiornamenti compiuti a intervalli regolari. Hai già capito a chi spetta questa attività? Approfondiamo
A chi spetta?
Come avrai capito, la valutazione dell’impatto sulla protezione dei dati deve essere effettuata dal titolare del trattamento. A voler essere precisi, nella pratica, la conduzione materiale della DPIA può essere affidata anche a un altro soggetto (sia interno che esterno all’azienda) ma, anche in questo caso, la responsabilità dell’adempimento ricade sul titolare del trattamento.
In questo senso, la DPIA costituisce un importante strumento di responsabilizzazione che permette al titolare non solo di adempiere agli obblighi stabiliti dal GDPR, ma anche a dimostrare l’avvenuto assolvimento di tali obblighi, nel pieno rispetto del principio di accountability. Infatti, attraverso la DPIA, il titolare può dimostrare di aver adottato misure idonee a garantire il rispetto dei diritti degli interessati, attenuando i possibili rischi nei loro confronti.
Anche il Responsabile del trattamento che ha sviluppato una soluzione tecnologica può scegliere di redigere una cosiddetta “DPIA informativa” volta a descrivere, dal punto di vista tecnico, il funzionamento del prodotto o servizio tech offerto, i potenziali rischi sottesi e le misure utili per ridurli. Tuttavia si tratta di una libera scelta del provider, rimanendo l’obbligo di redazione del documento sempre in capo al Titolare del trattamento.
A cosa serve la DPIA?
L’obiettivo principale della valutazione dell’impatto sulla protezione dei dati è di duplice natura:
- Da un lato, la DPIA mira a valutare i possibili rischi che potrebbero scaturire da un trattamento dei dati rispetto ai diritti e alle libertà degli interessati;
- Dall’altro lato, la DPIA si propone di gestire tali rischi, adottando le misure necessarie a garantire la protezione dei dati personali e tutelare le persone che entrano in contatto con l’azienda.
Così facendo, il titolare del trattamento potrà dimostrare la conformità al regolamento GDPR.
Quando deve essere effettuata la DPIA?
Importante: sulla base di quanto stabilito dal GDPR, la DPIA non è obbligatoria per ogni singolo trattamento! Ci sono alcuni casi specifici in cui il titolare del trattamento deve necessariamente svolgere la valutazione d’impatto. Vediamo quali sono questi casi.
La DPIA deve essere effettuata quando le attività di trattamento dei dati possono presentare un “rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35 del GDPR).
Nello specifico, quali sono le tipologie di trattamento dei dati da considerare ad alto rischio? Anzitutto, secondo la normativa vigente (art. 35 GDPR) la DPIA deve essere compiuta nei seguenti casi:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Inoltre, leggendo le linee guida offerte dal Gruppo Art. 29 possiamo ricavare alcuni criteri utili per stabilire quando il trattamento presenti un “rischio elevato per i diritti e le libertà delle persone fisiche”. Tali criteri sono:
- trattamenti valutativi o di scoring, compresa la profilazione;
- decisioni automatizzate che producono significativi effetti giuridici (come: assunzioni, concessione di prestiti, stipula di assicurazioni);
- monitoraggio sistematico (come per esempio la videosorveglianza);
- trattamento di dati sensibili, giudiziari o di natura estremamente personale (come nel caso delle informazioni relative alle preferenze politiche);
- trattamenti di dati personali su larga scala;
- combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, per esempio, con i Big Data);
- dati relativi a soggetti vulnerabili (come: minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani);
- utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (per esempio il riconoscimento facciale);
- trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.
Infine, sempre secondo il Gruppo Art. 29 è opportuno che il titolare valuti l’opportunità di effettuare tale valutazione per tutti i trattamenti e non solo per quelli previsti obbligatoriamente dal GDPR, vista la sua estrema utilità.
Questi sono alcuni criteri utili per stabilire quando è necessario effettuare una valutazione dell’impatto dei dati non essendo possibile stabilire a priori un elenco tassativo e omnicomprensivo di fattispecie in cui tale documento debba intendersi obbligatorio. In generale, se non sei sicuro che l’attività di trattamento dati che svolgi rientri o meno in “rischi elevati”, ti consigliamo di effettuare come la DPIA, in modo tale da rispettare la normativa vigente.
Cosa deve contenere?
Quando obbligatoria, la valutazione dell’impatto deve contenere almeno le seguenti informazioni:
- descrizione dei trattamenti previsti e delle relative finalità;
- valutazione relativa al fatto che tali trattamenti siano effettivamente necessari e proporzionali rispetto alle finalità perseguite;
- valutazione dei possibili rischi per i diritti e le libertà degli utenti;
- misure adottate per limitare i rischi individuati.
È importante redigere la valutazione dell’impatto seguendo queste direttive, in modo tale da rispettare la normativa europea.
E se non mi adeguo?
Nei casi di obbligatorietà della DPIA – quando un trattamento può comportare un rischio elevato per i diritti e le libertà della persone interessate – il GDPR prevede delle sanzioni a carico dei titolari che non forniscono prova della valutazione dell’impatto.
Tali sanzioni sono pari a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Hai qualche dubbio?
Seguendo queste linee guida puoi effettuare una DPIA che rispetti il GDPR e che ti permetta di evitare spiacevoli sanzioni.
Sappiamo che la direttiva vigente ha introdotto molte novità per le aziende e che, spesso, può essere difficile comprendere quando è obbligatoria la DPIA e quando invece è possibile non redigere questo documento. Per questo è possibile rivolgersi a figure esterne specializzate in materia di GDPR, che possano aiutarti nel rispetto della normativa vigente.
Grazie all’esperienza decennale e alle elevate competenze in materia di GDPR, il nostro team di esperti può aiutarti nella redazione di una DPIA, seguendo i migliori standard europei. Scopri come possiamo aiutarti e contattaci per ricevere una consulenza.