GDPR: Cos’è la valutazione di impatto sulla protezione dei dati (Guida al GDPR 6.4)

privacy computer

L’art. 35 del GDPR sancisce, in capo al titolare del trattamento (con la possibilità di consultare il Responsabile della protezione dei dati se presente), l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati qualora un tipo di trattamento, in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento stesso, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche cui i dati personali trattati si riferiscono (“Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”).

Come precisa la norma, al paragrafo 7, il contenuto minimo è indispensabile di tale valutazione consiste in:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso anche, eventualmente, l’interesse legittimo perseguito dal titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi, comprese le garanzie, le misure di sicurezza e i meccanismi previsti al fine di garantire la protezione dei dati personali e dimostrare la conformità del trattamento al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

La valutazione d’impatto sulla protezione dei dati dovrà essere necessariamente realizzata, come previsto dal GDPR, in una serie di ipotesi particolari, e in particolare nel caso in cui il titolare ponga in essere delle attività che consistono in:

  1. una valutazione sistematica e globale degli aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e su cui si fondano decisioni che hanno effetti giuridici o incidono comunque significativamente sulle persone fisiche;
  2. un trattamento, su larga scala, di categorie particolari di dati (dati sensibili), o di dati relativi a condanne penali e a reati;
  3. operazioni di sorveglianza sistematica di zone accessibile al pubblico su larga scala.

Sarà comunque compito dell’autorità di controllo competente predisporre e rendere pubblico un apposito elenco relativo alle diverse tipologie di trattamenti per i quali sarà o non sarà necessario effettuare una valutazione d’impatto sulla protezione dei dati (adempimento cui il nostro Garante non ha ancora provveduto).

Tuttavia, come precisato anche nelle linee guida delineate in materia, il fatto che non sia configurabile un vero e proprio obbligo di svolgimento della valutazione d’impatto non incide affatto sul più generico obbligo -al quale sottostanno i titolari del trattamento- di attuare delle misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento dei loro dati.

In ogni caso, al fine di procedere ad una corretta valutazione d’impatto sulla protezione dei dati, i titolari e responsabili del trattamento dovranno tenere in considerazione anche l’osservanza dei codici di condotta eventualmente approvati, in modo tale da assicurare e contribuire alla corretta applicazione del regolamento.

Come sottolineato dalle Linee Guida, la valutazione d’impatto (detta anche DPIA, acronimo del nominativo inglese “Data Protection Impact Assessment”) dovrebbe essere condotta in via anticipata, ovvero prima di procedere al trattamento dei dati. Essa infatti dovrebbe essere considerata proprio come uno strumento di ausilio in quel processo decisionale complessivo relativo al trattamento. Un tale approccio non dovrebbe peraltro stupire perché appare del tutto coerente con i principi della Privacy by design e Privacy by default che sono sanciti nel GDPR – che sono stati già analizzati nella precedente sezione di questo Speciale di approfondimento, cui si rinvia per i relativi approfondimenti (art. 25 GDPR: “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”).

Questa valutazione dovrebbe quindi essere svolta preferibilmente già nella fase di progettazione di un’attività di trattamento dei dati, anche se è normale che in quella fase così precoce non tutte le operazioni di trattamento siano già state messe a punto.

Questa considerazione si collega alla necessaria e attenta attività di aggiornamento delle informazioni contenute nella DPIA, ritenuta per il GDPR imprescindibile sviluppo di tale procedura. L’aggiornamento successivo della prima valutazione effettuata assicurerà quindi l’osservanza continuativa del quadro normativo di riferimento in materia di protezione dei dati personali.

In altre parole, la valutazione d’impatto sulla protezione dei dati non è un’attività che dovrà essere posta in essere una tantum, ma si configura piuttosto come un processo continuativo da mantenere attivo e aggiornato nel corso del tempo.

Come precisato sopra, è compito del titolare del trattamento quello di effettuare la valutazione d’impatto; tuttavia lo svolgimento materiale della stessa potrà essere affidato ad un altro soggetto, sia interno che esterno all’organismo anche se comunque, in quest’ultima ipotesi, la responsabilità ultima in ordine all’adempimento dell’obbligo ricade sul titolare del trattamento.

Le Linee Guida sopra richiamate suggeriscono, infine, diversi metodi attraverso cui poter realizzare una valutazione d’impatto.

A questo proposito si rileva che è stata predisposta una specifica norma internazionale (ISO/IEC 29134 dal titolo “Privacy Impact Assessment – Methodology”) di prossima pubblicazione che propone uno schema composto da una serie di passaggi (di cui alcuni riferiti specificamente al riesame periodico e all’attuazione di eventuali cambiamenti che si renderanno necessari), con lo scopo di fornire un valido metodo di riferimento.

Il GDPR lascia ai titolari del trattamento un margine di flessibilità per quanto riguarda la forma che tale valutazione d’impatto dovrà avere, in modo tale da consentire loro di includere un riferimento alle prassi già in essere.

Qualsiasi sia comunque la forma prescelta, la valutazione d’impatto dovrà essere impostata come una vera e propria valutazione dei rischi, in modo tale quindi da mettere i titolari in condizione di adottare le misure adeguate al fine di gestire e minimizzare tali rischi. Un’analisi efficace dovrebbe quindi tener conto correttamente del tipo di dati trattati e della loro pericolosità per la riservatezza dei soggetti cui si riferiscono, nonché del comportamento degli operatori e dei vari elementi (attinenti agli strumenti utilizzati e al contesto specifico) che vengono in considerazione.

FocusGDPRNormativaPrivacy e sicurezza Informatica
marzo 26, 2018
gdprprivacyregolamento euroepo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it