[CYBERTOOL] DPIA: La tua organizzazione è consapevole dell’importanza preventiva della valutazione d’impatto?

Nel precedente Cybertool sono stati proposti degli spunti pratici per permettere all’azienda di verificare le misure di sicurezza dalla stessa adottate a tutela del proprio perimetro di sicurezza informatica. 

Ma come verificare se le misure di sicurezza adottate sono coerenti con i rischi derivanti dal trattamento eseguito? 

Questa valutazione emerge a seguito della Valutazione d’impatto sulla protezione dei dati che, ai sensi dell’art. 35 GDPR, è una procedura atta a descrivere se un trattamento dei dati sia necessario, proporzionale e rischioso così da approntare le misure di sicurezza più adeguate. 

Perché è importante la DPIA? 

Innanzitutto, è un importante strumento per dimostrare l’accountability del Titolare del trattamento, ossia il principio cardine che deve muovere le scelte di quest’ultimo in relazione al proprio business che abbiano ad oggetto dati personali (c.d. principio di responsabilizzazione). 

Lo svolgimento della DPIA, in termini di responsabilità, ricade interamente sul Titolare del trattamento, anche qualora venga affidata ad un diverso soggetto dallo stesso incaricato. 

In ogni caso, l’azienda può avvalersi di ulteriori supporti nelle attività di monitoraggio, ricorrendo al DPO, al Responsabile IT o a consulenti specializzati.  

Quando eseguire la DPIA? 

La DPIA deve essere eseguita sempre prima di iniziare un trattamento. 

Secondo il principio risk based preventivo, il Titolare del trattamento prima di iniziare a raccogliere i dati degli interessati deve necessariamente svolgere una valutazione del rischio in modo tale da individuare le misure di sicurezza più opportune per poi valutarne l’idoneità. 

Solo successivamente sarà possibile dare esecuzione al trattamento. 

Si raccomanda, infine, di revisionare periodicamente l’output della valutazione, in modo tale da garantire il rispetto delle disposizioni in materia privacy. 

Obbligatorietà della DPIA: alcuni esempi 

Come riportato in precedenza, la DPIA deve essere eseguita in tutti i casi in cui un trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. 

Di seguito si riportano alcuni criteri secondo i quali valutare il suo svolgimento: al presentarsi di almeno 2 delle fattispecie elencate il Titolare deve eseguire la DPIA. 

Tuttavia, se lo ritiene opportuno, il Titolare può anticiparla anche in presenza di un solo criterio. 

Tra i trattamenti che richiedono una preventiva Valutazione d’impatto sulla protezione dei dati rientrano quelli: 

  • valutativi o di scoring, compresa la profilazione;  
  • che comportano decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);  
  • riguardanti il monitoraggio sistematico (es: videosorveglianza);  
  • aventi ad oggetto dati sensibili, giudiziari, di natura estremamente personale (es: informazioni sulle opinioni politiche) o su larga scala;  
  • innovativi o di applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);  
  • che potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).  

La DPIA, invece, non è necessaria per tutti i trattamenti che: 

  • non presentano rischio elevato per diritti e libertà delle persone fisiche;  
  • hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;  
  • sono stati già sottoposti a verifica da parte di un’Autorità di controllo. 

Lo scopo del tool 

Sottoponendo questo tool, composto da 10 domande a risposta multipla, al Team Privacy (o ad un delegato), sarà possibile constatare il livello di adeguatezza della procedura relativa allo svolgimento della DPIA. 

Cybertool_DPIA

"*" indica i campi obbligatori

Prima di iniziare un qualsiasi trattamento, si valuta se sia necessaria la DPIA?*
Nel caso in cui la DPIA sia necessaria, la valutazione viene adeguatamente documentata?*
La DPIA è importante perchè...*
Se il Titolare delega lo svolgimento della DPIA ad un soggetto terzo, la responsabilità dell'esito della valutazione sarà in capo...*
La profilazione è un trattamento che necessita di una preventiva DPIA?*
Il soft spam è un trattamento che nessita di una DPIA?*
La videosorveglianza è un trattamento che necessita di una DPIA?*
La DPIA...*
Qualora si riscontri una delle fattispecie descritte dal Garante della Protezione dei Dati Personali determinanti l'obbligatorietà della DPIA...*
Il trattamento di dati sensibili, giudiziari o su larga scala impone l'esecuzione della DPIA?*
Nome*
Veronica Zanibellato

Veronica Zanibellato

Nata a Padova, laureata presso l’Università degli Studi di Padova, è stata abilitata alla professione forense nel 2020. Legal specialist presso società bancarie e immobiliari, occupandosi della redazione e della revisione dei contratti ha contribuito alla redazione di modelli contrattuali semplificati, volti a garantirne la trasparenza e l’equilibrio tra le parti coinvolte secondo l’applicazione del legal design. Si occupa di diritto civile, diritto societario, diritto immobiliare e contrattualistica. Pratica tennis e nuoto, nel tempo libero ama fare escursioni o leggere un buon libro.