Valutazione d’impatto privacy DPIA: quando è obbligatoria?

Valutazione d’impatto privacy DPIA: quando è obbligatoria?

19 Novembre 2021

La valutazione d’impatto (DPIA – Data Protection Impact Assessment) è uno strumento previsto dall’art. 35 del GDPR, utile per delineare un trattamento di dati e per valutarne la necessità, la proporzionalità e i relativi rischi.

L’approccio basato sul rischio adottato dal GDPR prevede che il Titolare del trattamento gestisca tutti i rischi potenziali legati ai dati personali trattati. Per fare ciò, occorre che tali rischi vengano individuati, analizzati, stimati e attenuati con specifiche misure di sicurezza.

Tale attività è imprescindibile per tutti i Titolari che svolgono trattamenti di dati personali.

Tuttavia, quando il trattamento svolto potrebbe presentare un rischio elevato per i diritti e le libertà delle persone, la normativa ci chiede di effettuare una DPIA specifica.

Rimane comunque facoltà del Titolare di svolgere una valutazione d’impatto per tutti i tipi di trattamento, vista la sua estrema utilità. Si tratta, infatti, di uno strumento che aiuta e supporta il Titolare ad adempiere agli obblighi del GDPR e a dimostrare quali misure di sicurezza siano state adottate per proteggere i dati.

È anche bene sapere che una DPIA può riguardare sia un singolo trattamento sia trattamenti multipli che siano tra loro simili. È il caso, ad esempio, di un gruppo di società diverse che vogliano utilizzare una tecnologia simile per effettuare la stessa raccolta di dati personali per le medesime finalità.

Non è infatti necessario svolgere una nuova DPIA se l’impatto e i rischi di un determinato trattamento siano già stati studiati e valutati da altri soggetti.

Tale concetto si applica anche ai casi in cui oggetto della DPIA sia un prodotto tecnologico, hardware o software.

Chi deve effettuare la DPIA?

La responsabilità è in capo al Titolare del trattamento. Tuttavia, lo svolgimento della DPIA può essere affidato anche a un soggetto esterno all’organizzazione.

Rimane compito del Titolare però la supervisione della sua redazione, anche in accordo e con la collaborazione del DPO nominato.

Si consiglia di raccogliere il parere di esperti del settore e del responsabile IT per farsi aiutare nella predisposizione.

In quali casi è obbligatoria la DPIA?

Vediamo quali sono i casi in cui è obbligatorio svolgere una DPIA.

Il par. 3 dell’art. 35 del GDPR richiede lo svolgimento della DPIA nei seguenti casi:

  1. valutazione sistematica e globale di aspetti personali, basta su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici;
  2. trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  3. sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Tuttavia, questo elenco non è da considerarsi esaustivo.

Tutte le autorità di controllo hanno potuto redigere, ai sensi del par. 4 dell’art. 35, un elenco delle tipologie di trattamenti soggetti al requisito della DPIA.

Il Garante Italiano ne ha individuati dodici nell’«Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679».

Rientrano, ad esempio, i trattamenti valutativi o di scoring su larga scala; gli screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi; i trattamenti effettuati nell’ambito del rapporto di lavoro mediante geolocalizzazione o videosorveglianza; i trattamenti sistematici di dati biometrici e genetici.

In aggiunta, per valutare se effettuare o meno la DPIA, le Linee Guida del WP29 (WP248) offrono alcuni chiarimenti e spunti interessanti, per chi fosse interessato a un approfondimento.

Cosa succede se non viene svolta la DPIA obbligatoria?

Nel caso in cui la DPIA non venga effettuata, pur in presenza di obbligo, il Titolare può essere soggetto a una sanzione amministrativa pecuniaria pari a un massimo di 10 milioni di euro oppure, se si tratta di un’impresa, pari al 2% del fatturato annuo globale. La quantificazione dell’importo varia in base a quale delle due cifre sia superiore.

In ogni caso, il Comitato Europeo per la Protezione dei Dati (gruppo che riunisci tutte le autorità nazionali) suggerisce di effettuare comunque la DPIA anche se non risulta chiaro dalle disposizioni se la valutazione d’impatto sia richiesta o meno.

Giulia Gradogna
About

Laureata in Relazioni Internazionali, Giulia è una consulente che si contraddistingue per la sua precisione e organizzazione. Terminati gli studi universitari, ha approfondito la materia Privacy, ottenendo la qualifica di DPO e di  “Maestro della Privacy". La contraddistingue uno spirito critico che le permette di redigere analisi specifiche sul trattamento dati, anche in ambito cyber-security.

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci