DPIA: la verifica preliminare per la compliance al GDPR

La protezione de dati, in questa fase preliminare, va innanzitutto verificata e tra queste c’è la DPIA.

Ad aprile sono state finalmente rese disponibili, in una prima versione, le linee guida sul data protection impact assessment (DPIA), ossia la “valutazione d’impatto sulla protezione dei dati” prevista dal GDPR.

Vista la complessità organizzativa che il Regolamento impone, queste linee guida sono fondamentali per le Organizzazioni, al fine di riuscire a orientarsi nell’intricato mondo della protezione dei dati.

Vediamo innanzitutto cos’è la DPIA. É un’attività interna, obbligatoria per il Titolare del trattamento quando necessaria, volta a valutare la proporzionalità e necessità del trattamento di dati sensibili e analizzare i rischi a cui esso espone gli interessati, indicando e ponendo in essere misure idonee per eliminarli o mitigarli.

In parole semplici: il Titolare de trattamento dovrà verificare che i procedimenti con cui tratta i dati sensibili in suo possesso, siano sicuri o se espongano le informazioni a qualunque tipo di rischio, valutando anche il livello di questo rischio, per poi prendere adeguati provvedimenti. In definitiva è una fotografia dell’“impatto privacy” di una determinata attività e i rimedi predisposti in chiave di prevenzione del rischio.

I garanti europei, al fine di facilitare il lavoro di valutazione iniziale delle Organizzazioni, forniscono una serie di esempi concreti su quali siano le tipologie di trattamento a rischio:

• raccolta di informazioni a cui l’interessato non può in linea di massima sottrarsi (es. videosorveglianza di area pubblica di passaggio),

• applicazione di schemi predittivi sul comportamento o sulla salute dell’interessato;

• trattamento svolto nei riguardi di minori, lavoratori e altri soggetti vulnerabili;

• uso di nuove tecnologie (es. Internet of Things);

• trattamento avente ad oggetto di dati sensibili o comunque strategici (es. informazioni di geolocalizzazione o finanziarie) o di elevati volumi di dati (“larga scala”) o combinazioni di informazioni diverse;

• circolazione di dati personali extra-UE verso Paesi che non offrono adeguate garanzie, dunque rischio di fuoriuscita da uno spazio di garanzie.

Cosa succede quando la DPIA rileva rischi elevati per gli interessati?

Come al solito, il GDPR, si rifà al principio dell’accountability, non dando indicazioni specifiche sulle misure tecniche che il titolare dovrà adottare, ma lasciandogli la piena responsabilità delle scelte di sicurezza da adottare. 

Per quanto riguarda la pubblicazione della DPIA, sia per la parte “analitica” che deve essere predisposta anche se non si rilevino rischi elevati, che per la parte contenente le prescrizioni che è necessario adottare quando sussistano “hig risk”, le linee guida sottolineano che essa non è obbligatoria.

Si suggerisce tuttavia di conservare tale documento, completo anche di un adeguato sommario e delle conclusioni.

La flessibilità dell’interpretazione delle norme sulla valutazione del rischio è dunque bilanciata dalla continua evidenziazione, supportata peraltro dagli articoli 24 paragrafo 1 e 35, paragrafo 11, che sia l’analisi dei rischi, sia la DPIA (intesa come individuazione delle misure necessarie) devono essere concepite come un processo costante e continuativo. 

Una conferma dunque che il GDPR contiene una normativa molto elastica e per questo adattabile a ogni innovazione tecnologica che comporti il trattamento di dati personali.

Tags: ,

Via Levorin, 1 - 35127 Padova

P. IVA/C.F. 03719260287
Registro Imprese di Padova
n. 03719260287
Numero R.E.A 331324

Tel. (+39) 049.8077145
Fax (+39) 049.7806159

ASSISTENZA

Il servizio di supporto e assistenza è attivo dal lunedì al venerdì dalle:
09:00 - 13:00
14:00 - 16:00

Eventuali interventi presso il cliente vanno concordati.

CERCA NEL SITO

©2020 TECSIS S.r.l. All Rights Reserved.

Search