HOME

/

DIRITTO

/

PRIVACY 2024

/

VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI - DPIA: COME ESEGUIRE L'ADEMPIMENTO

Valutazione d'impatto sulla protezione dei dati - DPIA: come eseguire l'adempimento

Obbligo per il titolare del trattamento di considerare i rischi che i trattamenti di dati possono comportare per i diritti e le libertà delle persone fisiche

Ascolta la versione audio dell'articolo

Il Regolamento UE 2016/679 (GDPR) prevede l'obbligo per il titolare del trattamento di tenere in considerazione i rischi che i trattamenti di dati possono comportare per i diritti e le libertà delle persone fisiche.

In particolare, quest'onere discende da due norme: 

  • l’art. 24, che colloca l'analisi dei rischi insieme alle altre caratteristiche del trattamento dei dati (natura, ambito di applicazione, contesto e finalità) di cui il titolare del trattamento deve tenere conto per mettere in atto le misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è conforme al regolamento stesso;
  • l’art. 35, che prevede, invece, una specifica procedura di valutazione di impatto (DPIA) che serve a descrivere un trattamento di dati per valutarne la necessità, la proporzionalità e i relativi rischi. Si deve effettuare quando un tipo di trattamento, specie se prevede l'uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il suo scopo è stabilire misure idonee ad affrontare e minimizzare questi rischi elevati. 

Quindi la valutazione di impatto è un adempimento obbligatorio che concretizza il principio di accontability, in quanto consente al titolare di dimostrare che un determinato trattamento è stato preventivamente valutato e risulta conforme agli obblighi previsti dal GDPR.

Per aiutarti negli adempimenti abbiamo preparato un Software:  DPIA Easy - Valutazione impatto sulla protezione dati sviluppato per supportare i Data Protection Officer (DPO), consulenti privacy, avvocati e enti pubblici nel gestire efficacemente i compiti di conformità al GDPR.

Attenzione però “obbligatorio” non significa “formale” o meramente “burocratico” perché la DPIA, se condotta correttamente è un efficace strumento di gestione del rischio: valutando prima l’impatto del trattamento, poi il livello di rischio di un trattamento dei dati, il titolare del trattamento potrà adottare adeguate misure di sicurezza per mitigarlo.

Di seguito ulteriori dettagli.

L'articolo continua dopo la pubblicità

Per aiutarti negli adempimenti abbiamo preparato un Software:  DPIA Easy - Valutazione impatto sulla protezione dati sviluppato per supportare i Data Protection Officer (DPO), consulenti privacy, avvocati e enti pubblici nel gestire efficacemente i compiti di conformità al GDPR.

1) DPIA: requisiti minimi

In conformità ai principi di privacy by design e by default di cui all’art. 25 del Reg. UE 2016/679 nel momento in cui, il titolare del trattamento introduce un nuovo trattamento di dati personali nell’ambito della propria organizzazione deve garantire che lo stesso avvenga nel rispetto alle norme sulla protezione dei dati, prevedendo, sin dalla progettazione, le adeguate misure tecniche o organizzative.

L'ottica è quella del “risk based approach” che non prevede un elenco di adempimenti precisi da effettuare ma l'analisi dell'organizzazione, in seguito alla conduzione della quale, sarà possibile procedere alla predisposizione di misure tecniche e organizzative “tailor made” che dovranno essere giustificate sulla base della preventiva analisi dei rischi.

Nel caso in cui il titolare decidesse di non svolgere l'attività di valutazione, deve essere in grado di comprovare e documentare le ragioni che lo hanno spinto a prendere questa decisione, altrimenti espone l'organizzazione all'irrogazione di sanzioni, anche pesanti. 

Prima di procedere a un'attività di trattamento che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, quindi, occorre svolgere la valutazione di impatto in quanto solo attraverso questa il titolare del trattamento può valutare e dimostrare la conformità delle attività di trattamento alle norme in materia di protezione dei dati personali e può approntare le contromisure necessarie per la minimizzazione del rischio.

L’art. 35 (7) GDPR, permette di individuare i requisiti minimi necessari che la valutazione di impatto deve contenere:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento. La norma allude al registro delle attività di trattamento di cui all'art. 30 del GDPR che permette al titolare del trattamento di avere uno sguardo generale su tutte le attività di trattamento svolte dall'organizzazione.
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità. Il titolare del trattamento, quindi deve chiarire, fin dalla fase di progettazione e fino alla conclusione del ciclo di vita dei dati, il perché i trattamenti che intende svolgere siano necessari al raggiungimento delle finalità prefissate, riducendo al minimo indispensabile la quantità di dati trattati. Questa previsione concretizza i principi di privacy by default e by design.
c) una valutazione dei rischi per i diritti e le libertà degli interessati;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. 

Si potrebbero ipotizzare i seguenti punti per redigere una DPIA.

2) DPIA primo step: descrizione del trattamento previsto

In questa prima fase deve essere definito il contesto in cui la valutazione deve essere condotta

Deve essere descritta la tipologia di dati personali trattati, come si sviluppa il trattamento, definendo i tempi di conservazione dei dati e quali sono gli strumenti utilizzati per effettuare il trattamento.

In questa fase il titolare deve stabilire, in sostanza, se, in base al trattamento da svolgere e alle sue caratteristiche, ricorra o meno la necessità stessa di effettuare una valutazione di impatto. In questa fase occorre altresì rappresentare gli scopi del trattamento (sono determinati, espliciti e legittimi?) e se i dati raccolti siano adeguati, pertinenti, e limitati a quanto necessario in relazione alle finalità perseguite.

Dall'altro occorre chiarire come gli interessati siano informati del trattamento dei loro dati e come possano esercitare i propri diritti. 

Devono altresì essere stabiliti gli obblighi dei responsabili del trattamento.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

3) DPIA secondo step: criteri di impatto

Questa fase prevede che vengano analizzati i possibili impatti che il trattamento potrebbe avere sui diritti e le libertà fondamentali degli interessati, in termini di scoring, monitoraggio regolare e sistematico, caratteristiche dell’interessato, identificabilità dell’interessato, soluzioni tecnologiche innovative, trasferimenti extra UE, trattamenti su larga scala, decisioni automatizzate, categorie particolari di dati e soggetti fragili.  

4) DPIA terzo step: la valutazione dei rischi

In questa fase si analizzano i rischi correlati al trattamento, che possono essere inerenti alla preparazione degli utenti, alle infrastrutture informatiche previste ed esistenti per il trattamento e ad ogni altro elemento utile per il trattamento in oggetto. 

Dopo aver valutato l'impatto dei rischi e la probabilità di accadimento delle minacce, si potrà valutare globalmente il rischio e, se questo dovesse essere classificato come alto o molto alto, sarà necessario applicare misure tecnico-organizzative adeguate a minimizzare la gravità del rischio e la probabilità di accadimento delle minacce.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

5) DPIA quarto e quinto step: gestire gli impatti e i rischi

In queste fasi successive, ogni criterio di impatto e di rischio che è stato preso in considerazione nella fase di analisi dovrà trovare una sua misura di correzione e/o mitigazione. Occorre descrivere quali siano le misure previste dal titolare per affrontare i rischi elevati connessi al trattamento ed è necessario che le misure previste vadano a minimizzare il rischio (azzerarlo è impossibile) fino a portarlo ad essere considerato accettabile. 

Nel caso il rischio, nonostante le misure adottate, resti elevato, il titolare del trattamento potrà 

  • valutare la possibilità di una consultazione preventiva con l'Autorità Garante (ex art. 36 GDPR), trasmettendogli una copia della DPIA;
  • riprogettare o interrompere il trattamento, consultandosi con il proprio DPO. Tra i compiti del data protection officer c'è proprio quello di fornire un parere circa la valutazione di impatto e di monitorarne lo svolgimento. 
  • eventualmente, raccogliere, ai sensi dell'art. 53 (9) GDPR, le opinioni degli interessati e dei loro rappresentanti sul trattamento previsto. Questa valutazione deve tenere conto della natura, del contesto e delle finalità che il titolare del trattamento persegue ma soprattutto dell'impatto che ne può derivare agli interessati.

Una volta eseguita la valutazione di impatto occorre ricordare che le risultanze di questa e tutta la relativa documentazione, non va chiusa in un cassetto: non è una procedura che si attua una tantum ma va periodicamente aggiornata e rivista, in particolare nei casi in cui il rischio preso in considerazione in termini di probabilità o gravità, si modifichi.

Ricordiamo che non condurre la DPIA nei casi in cui risulta obbligatorio farlo (quindi in caso di rischio elevato insito nel trattamento) o non svolgere la valutazione in base alle indicazioni contenute nell'art. 35 GDPR o non consultare preventivamente l'autorità garante in caso di rischio elevato persistente possono esporre l'organizzazione, in quanto violazioni al principio di responsabilizzazione, a sanzioni amministrative pecuniarie in alcuni casi anche molto elevate. 

Per aiutarti negli adempimenti abbiamo preparato un Software:  DPIA Easy - Valutazione impatto sulla protezione dati sviluppato per supportare i Data Protection Officer (DPO), consulenti privacy, avvocati e enti pubblici nel gestire efficacemente i compiti di conformità al GDPR.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

Fonte immagine: Foto di Gerd Altmann da Pixabay
La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.