Valutazione d’impatto sulla protezione dei dati per il GDPR

Valutazione d’impatto sulla protezione dei dati per il GDPR

Il nuovo Regolamento Europeo sulla privacy GDPR introduce rilevanti novità riguardo la Valutazione d’impatto sulla protezione dei dati (DPIA).

Questa valutazione, effettuata dal Titolare del trattamento, serve ad individuare i rischi per i diritti e le libertà degli interessati connessi alle attività di trattamento dei dati personali. Il titolare deve essere in grado di determinare le misure idonee ad affrontarli. Ad esempio istallando nuovi sistemi di sicurezza che garantiscano la non dispersione dei dati personali.

Secondo il GDPR, una scorretta valutazione d’impatto sulla protezione dei dati può esporre il titolare del trattamento a sanzioni pecuniarie da parte dell’autorità di controllo competente.

Quando la DPIA è obbligatoria

La DPIA o Valutazione d’impatto sulla protezione dei dati è obbligatoria quando il trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” ed in particolare quando:

  1. i dati vengono processati in modo automatizzato per prendere decisioni che incidono sulla sfera personale del soggetto e sui suoi diritti. Può rientrare in questo caso anche la profilazione. Ad esempio, il tracciamento che valuta in modo automatizzato il diritto di un cittadino a ottenere un passaporto, a iscriversi a un corso universitario o ad ottenere un mutuo;
  2. il trattamento interessa categorie particolari di dati di un numero elevato di soggetti, come i dati che rivelano origine razziale, opinioni politiche o religiose, o di dati che riguardano condanne penali e reati, raccolti su scala regionale, nazionale o sovranazionale;
  3. si effettua una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

È  comunque sempre consigliato effettuare una valutazione d’impatto sulla protezione dei dati e ripeterla ogni qual volta vengano apportate modifiche allo stato dei trattamenti per verificarne la regolarità.

Se ad esempio un datore di lavoro che fa gestire le buste paga dei dipendenti al proprio commercialista (rischio per i dati molto basso), decide di sostituirlo con un nuovo programma gestionale, sta introducendo un processo automatizzato. In questo caso dovrà effettuare una nuova DPIA e valutare così i rischi del nuovo trattamento.

Secondo il GDPR, la valutazione di impatto sulla protezione dei dati non è necessaria invece quando:

  • i trattamenti sono stati già autorizzati prima del GDPR;
  • è già stato rilevato un livello di rischio basso per una situazione simile alla propria;
  • l’obbligo è stato esplicitamente escluso da una norma statale o comunitaria o dalle autorità di controllo.

Come effettuare la Valutazione d’impatto

Il GDPR lascia ampio spazio al titolare per quanto riguarda struttura e forma che la valutazione deve assumere, e ciò per garantire la sua aderenza alla realtà.

La DPIA deve essere effettuata prima dell’inizio del trattamento e si deve procedere poi al continuo riesame della valutazione ogni volta che ci sono delle modifiche, si tratta quindi di un processo continuo.

Le linee guida del GDPR non prevedono una procedura standard per effettuare la valutazione di impatto. Il modo migliore per iniziare è partire dall’esame del Registro dei trattamenti che garantisce una visione chiara dei trattamenti effettuati. Si inoltre seguire alcune linee guida:

  1. effettua una descrizione sistematica del trattamento: stabilisci quindi la natura l’ambito di applicazione, il contesto e le finalità dei trattamenti realizzati e controlla come vengono registrati e gestiti i dati personali;
  2. valuta che i trattamenti effettuati siano giustificati da una reale necessità e che non vengano trattati per finalità superflue;
  3. verifica il rispetto del principio di proporzionalità: l’interesse del titolare al trattamento deve prevalere su quello dell’interessato. Ad es. l’istallazione di telecamere di sorveglianza finalizzata al controllo di furti di merce;
  4. controlla che siano state determinate misure idonee a garantire i diritti di informazione degli interessati dal trattamento. Ad esempio il diritto di accesso ai dati o il diritto ad ottenere una rettifica o di opporsi a determinati trattamenti;
  5. verifica che siano stati gestiti adeguatamente i rischi per i diritti e le libertà degli interessati. Ad esempio valutando la protezione contro la potenziale dispersione o furto di informazioni rilevanti;
  6. garantisci il massimo coinvolgimento degli interessati tenendoli sempre informati al trattamento dei loro dati.
  7. consulta il responsabile della protezione dei dati DPO se lo hai eletto.

Chi esegue la Valutazione d’impatto sulla protezione dei dati per il GDPR

È responsabilità del titolare del trattamento assicurarsi che la DPIA sia effettuata. Può essere effettuata dallo stesso Titolare o da un soggetto diverso: dal responsabile del trattamento o dal rappresentante del Titolare (se nominati). Se la valutazione viene effettuata da terzi, il titolare rimane responsabile e dovrà svolgerne una propria utilizzando anche le informazioni contenute nelle valutazioni dei terzi.

Nel caso in cui sia previsto un DPO, il titolare deve confrontarsi con quest’ultimo e i suoi pareri devono comparire nella valutazione.

Come gestire gli adempimenti privacy

Su LexDo.it potrai creare il tuo Registro dei trattamenti per poter effettuare in modo più semplice la DPIA.

Potrai inoltre richiedere di essere seguito su tutte le procedure richieste dalla GDPR o per eseguire un primo inquadramento della tua situazione. I nostri abbonamenti annuali comprendono sia contratti e documenti legali che consulenze telefoniche con avvocati esperti su qualsiasi tema.

Basterà rispondere a semplici domande per generare i documenti  personalizzati per le tue esigenze:

REGISTRO DEI TRATTAMENTI dei Dati Personali: per raccogliere tutte le informazioni relative alla gestione dei dati personali trattati

INFORMATIVA PRIVACY per attività offline: per informare i propri clienti sull’uso che verrà fatto delle loro informazioni personali

PRIVACY POLICY per siti web e app: per informare gli utenti di un sito web o di un app sull’uso che verrà fatto delle loro informazioni personali

COOKIE POLICY per siti web: per informare i visitatori del tuo sito dei cookie che salverai sul loro browser

Per scoprire di più visita la pagina www.lexdo.it/prezzi/

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *