[CYBERTOOL] DPIA: La tua organizzazione è consapevole dell’importanza preventiva della valutazione d’impatto?

Approfondiamo come le aziende possono valutare efficacemente se le misure di sicurezza adottate siano adeguatamente allineate ai rischi legati al trattamento dei dati personali. Questo processo di verifica, fondamentale per la protezione dei dati, si avvale della Valutazione d’Impatto sulla Protezione dei Dati (DPIA), come descritto dall’articolo 35 del GDPR. La DPIA non solo serve a identificare e minimizzare i rischi di una violazione dei dati, ma è anche un’espressione tangibile dell’obbligo di accountability a carico del Titolare del trattamento. Esploreremo quando e come effettuare una DPIA, i criteri per la sua obbligatorietà, e il ruolo cruciale che essa gioca nell’assicurare che le politiche di sicurezza siano efficaci e in linea con le normative vigenti.

Nel precedente Cybertool sono stati proposti degli spunti pratici per permettere all’azienda di verificare le misure di sicurezza dalla stessa adottate a tutela del proprio perimetro di sicurezza informatica. 

Ma come verificare se le misure di sicurezza adottate sono coerenti con i rischi derivanti dal trattamento eseguito? 

Questa valutazione emerge a seguito della Valutazione d’impatto sulla protezione dei dati che, ai sensi dell’art. 35 GDPR, è una procedura atta a descrivere se un trattamento dei dati sia necessario, proporzionale e rischioso così da approntare le misure di sicurezza più adeguate. 

DPIA: perché è importante? 

Innanzitutto, è un importante strumento per dimostrare l’accountability del Titolare del trattamento, ossia il principio cardine che deve muovere le scelte di quest’ultimo in relazione al proprio business che abbiano ad oggetto dati personali (c.d. principio di responsabilizzazione). 

Lo svolgimento della DPIA, in termini di responsabilità, ricade interamente sul Titolare del trattamento, anche qualora venga affidata ad un diverso soggetto dallo stesso incaricato. 

In ogni caso, l’azienda può avvalersi di ulteriori supporti nelle attività di monitoraggio, ricorrendo al DPO, al Responsabile IT o a consulenti specializzati.  

Quando eseguire la DPIA? 

La DPIA deve essere eseguita sempre prima di iniziare un trattamento

Secondo il principio risk based preventivo, il Titolare del trattamento prima di iniziare a raccogliere i dati degli interessati deve necessariamente svolgere una valutazione del rischio in modo tale da individuare le misure di sicurezza più opportune per poi valutarne l’idoneità. 

Solo successivamente sarà possibile dare esecuzione al trattamento

Si raccomanda, infine, di revisionare periodicamente l’output della valutazione, in modo tale da garantire il rispetto delle disposizioni in materia privacy. 

Obbligatorietà della DPIA: alcuni esempi 

Come riportato in precedenza, la DPIA deve essere eseguita in tutti i casi in cui un trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. 

Di seguito si riportano alcuni criteri secondo i quali valutare il suo svolgimento: al presentarsi di almeno 2 delle fattispecie elencate il Titolare deve eseguire la DPIA. 

Tuttavia, se lo ritiene opportuno, il Titolare può anticiparla anche in presenza di un solo criterio

Tra i trattamenti che richiedono una preventiva Valutazione d’impatto sulla protezione dei dati rientrano quelli: 

  • valutativi o di scoring, compresa la profilazione;  
  • che comportano decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);  
  • riguardanti il monitoraggio sistematico (es: videosorveglianza);  
  • aventi ad oggetto dati sensibili, giudiziari, di natura estremamente personale (es: informazioni sulle opinioni politiche) o su larga scala;  
  • innovativi o di applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);  
  • che potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).  

La DPIA, invece, non è necessaria per tutti i trattamenti che: 

  • non presentano rischio elevato per diritti e libertà delle persone fisiche;  
  • hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;  
  • sono stati già sottoposti a verifica da parte di un’Autorità di controllo. 

CYBERTOOL – DPIA

"*" indicates required fields

Prima di iniziare un qualsiasi trattamento, si valuta se sia necessaria la DPIA?*
Nel caso in cui la DPIA sia necessaria, la valutazione viene adeguatamente documentata?*
La DPIA è importante perchè…*
Se il Titolare delega lo svolgimento della DPIA ad un soggetto terzo, la responsabilità dell'esito della valutazione sarà in capo…*
La profilazione è un trattamento che necessita di una preventiva DPIA?*
Il soft spam è un trattamento che nessita di una DPIA?*
La videosorveglianza è un trattamento che necessita di una DPIA?*
La DPIA…*
Qualora si riscontri una delle fattispecie descritte dal Garante della Protezione dei Dati Personali determinanti l'obbligatorietà della DPIA…*
Il trattamento di dati sensibili, giudiziari o su larga scala impone l'esecuzione della DPIA?*
Nome*

PER QUANDO HAI TEMPO E VOGLIA DI APPROFONDIRE