
Valutazione dei rischi privacy – DPIA
30 Settembre 2020
Analizzare, conoscere, definire
Uno dei principi cardine su cui si basa il nuovo Regolamento Europeo sulla Privacy 679/2016 è, sicuramente, quello della dimostrabilità delle operazioni di trattamento effettuate dalle aziende. Tale principio è noto con il termine anglosassone “Accountability”, il quale sta ad indicare la necessità, per i titolari, di conoscere le operazioni compiute, nonché di analizzare, conoscere e definire, rispettivamente, i flussi normativi, i soggetti coinvolti e le regole per la corretta gestione e conservazione dei dati. Ogni titolare, inoltre, deve predisporre misure preventive atte ad evitare perdite di dati o fughe di informazioni, non al solo fine di tutelare l’interessato, ma anche per evitare, accortamente, di esporre se stesso a sanzioni.
DPIA: Data Privacy Impact Assessment
Lo strumento principe che consente di conoscere a fondo i processi di trattamento dei dati è la Valutazione di impatto sul trattamento dei dati (in inglese “Data Protection Impact Assessment”, DPIA), introdotta dal nuovo Regolamento Europeo sulla Privacy 679/2016. La necessità di assicurare trasparenza e protezione nelle operazioni di trattamento dei dati personali, infatti, impone in capo al titolare del trattamento l’onere di effettuare una preliminare valutazione di impatto privacy. Tale valutazione, DPIA, evidentemente prodromica al trattamento, consente di considerare, prima che questo venga posto in essere, ogni aspetto rilevante, compresa la Valutazione dei rischi privacy.
Ciò che in particolare si andrà a sviluppare, nei casi in cui il trattamento venga svolto mediante l’utilizzo delle nuove tecnologie, è la valutazione dei rischi privacy, ossia l’incidenza delle attività di trattamento poste in essere dal titolare sui dati personali.
In tempi lontani Stefano Rodotà, nella lungimirante prefazione a libera circolazione e protezione dei dati personali, evidenziava come le nuove tecnologie creino rischi di inquinamento dell’ambiente delle libertà civili e politiche, per cui si rende necessario passare a tecnologie “pulite”, anche attraverso una costante valutazione dell’impatto privacy.
Contenuti essenziali della Valutazione di impatto sul trattamento dei dati
In generale, la Valutazione di Impatto è necessaria quando il trattamento, per natura, oggetto, contesto o finalità, presenti quei rischi specifici elencati nell’art. 35.
Sempre in base al citato art. 35, la valutazione di impatto deve contenere almeno:
- Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- Una valutazione di necessità e proporzionalità dei trattamenti in relazione alle finalità;
- Una valutazione dei rischi privacy per i diritti e le libertà degli interessati;
- Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al nuovo Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Tre buoni motivi per sviluppare una valutazione DPIA
La conduzione di una Valutazione dei Impatto, indipendentemente dal fatto che essa risulti, nel caso specifico, obbligatoria o meno, ha sempre un effetto benefico. Innanzitutto,
- (i) l’impostazione e lo sviluppo di un DPIA permettono di identificare e gestire i rischi, conseguenza possibile del trattamento; in secondo luogo
- (ii) la Valutazione d’impatto sulla protezione dei dati previene la possibilità che determinati problemi vengano scoperti in uno stadio avanzato del trattamento (possibilità che, ricordiamo, potrebbe comportare per il titolare costi assai elevati), nel mentre affrontare tempestivamente i rischi connessi al trattamento permette di introdurre preventivamente appropriate misure di controllo; infine, non bisogna dimenticare che
- (iii) lo sviluppo di un Data Protection Impact Assessment è in grado di rafforzare il livello di affidabilità legato all’immagine dell’azienda.
L’impostazione della DPIA inizia con la “Valutazione dei Rischi”, concetto ben noto a chi si occupa di compliance aziendale e che si ritrova nell’ambito della Sicurezza sui luoghi di Lavoro (81/08), negli ambiti legati alla Responsabilità amministrativa d’impresa (231/2001) e nelle nuove certificazioni di qualità ISO 9001:2015. Per questo motivo, la nostra azienda propone dei sistemi integrati che prendano in considerazione queste norme assieme, per evitare ridondanze di procedure/protocolli e gestire la compliance aziendale sotto ogni punto di vista.