Il Regolamento Europeo GDPR ha introdotto alcune novità riguardo la valutazione di impatto per la privacy (DPIA). Vediamo in dettaglio cos'è e quando è obbligatoria con le nuove regole.
La valutazione di impatto per la privacy è l'analisi e la mappatura interna dei dati che viene svolta per identificare potenziali rischi connessi a specifiche operazioni compiute sui dati personali particolarmente delicate. Questa valutazione consente di determinare le misure idonee a minimizzare i rischi in questi casi. Ad esempio, se una società vuole introdurre un nuovo tipo di tracciamento automatizzato di dati dovrà effettuare la valutazione e introdurre sistemi di controllo e di cifratura che garantiscano la sicurezza dei dati personali.
Il Regolamento GDPR prevede delle importanti sanzioni economiche in caso di violazioni relative alla valutazione d’impatto. Queste sanzioni possono arrivare fino a fino a €10 milioni oppure fino al 2% del fatturato totale annuo mondiale. Per questo motivo può essere utile fare in ogni caso una valutazione di impatto per adottare tutte le misure di sicurezza adeguate al trattamento dei dati personali.
La valutazione di impatto è obbligatoria solo per specifici trattamenti che possono comportare rischi elevati per i diritti e le libertà fondamentali delle persone fisiche. La normativa GDPR ha previsto alcune linee guida pratiche per chiarire quest'obbligo. In particolare, la DPIA è obbligatoria in presenza di almeno due delle seguenti condizioni:
Ecco alcuni esempi tipici di trattamento di dati personali che comportano l'obbligo di una valutazione di impatto privacy:
La valutazione di impatto, invece, non è obbligatoria quando i trattamenti:
Un esempio tipico di trattamento di dati personali che non comporta l'obbligo è quello effettuato dal titolare del sito web che analizza le abitudini di acquisto degli utenti per ottimizzare le proprie campagne marketing. In questo caso, la DPIA non è obbligatoria in quanto non ci sono rischi elevati per i diritti e le libertà fondamentali né ci sono le condizioni stabilite dalle linee guida.
La DPIA deve essere effettuata prima dell’inizio del trattamento e va riesaminata ogni volta che ci sono delle modifiche. È responsabilità del titolare del trattamento assicurarsi che la DPIA sia effettuata. Può essere effettuata anche da un soggetto diverso dal titolare (es. dal responsabile del trattamento o dal rappresentante del titolare). In ogni caso, il titolare rimane responsabile se viene effettuata da soggetti terzi.
Le linee guida del GDPR non prevedono una procedura standard per effettuare la valutazione di impatto. Il modo migliore per iniziare è partire dalla creazione del registro dei trattamenti che garantisce una visione chiara dei trattamenti effettuati. Inoltre, è consigliato di seguire alcune linee guida:
L'autorità francese per la protezione dei dati ha fornito un software open source multi-lingua (anche in italiano) di aiuto alla redazione di una valutazione di impatto privacy a norma. Il software è stato promosso anche dal Garante della privacy italiano, è gratuito e liberamente scaricabile cliccando qui. Il software offre un percorso guidato alla realizzazione della DPIA, secondo le linee guida stabilite dal Regolamento GDPR.
L’adeguamento alle nuove regole privacy richiede un’attenta valutazione dell’attività dell’impresa. Con LexDo.it puoi ricevere un servizio completo per gestire correttamente e in modo semplice gli adempimenti privacy della tua attività. Potrai ottenere una consulenza GDPR dedicata di un avvocato esperto con uno dei nostri piani completi a partire da €99 + IVA. Il professionista valuterà quali adempimenti e documenti si applicano al tuo caso specifico, consigliandoti come procedere.
Potrai poi creare i documenti privacy di cui hai bisogno, inclusi nei nostri piani completi. Trovi qui di seguito una lista dei documenti che puoi creare:
Inoltre, il servizio include 1 anno di supporto legale 100% online per creare anche gli altri documenti legali necessari per le tue esigenze (es. contratti d’opera o servizio e termini e condizioni per un sito web) e per richiedere consulenze su ogni tema legale. Potrai descrivere la tua situazione ad un professionista esperto che ti guiderà passo dopo passo nel tuo caso specifico.
Per parlare con il professionista esperto, puoi iniziare dalla consulenza sulla privacy dedicata.
Registro dei Trattamenti dei Dati Personali (GDPR)
Per raccogliere tutte le informazioni relative alla gestione dei dati personali trattati
Hai ancora domande? Richiedi una consulenza per parlare con un professionista o contatta il supporto in chat.