DPIA GDPR: cos’è e quando è obbligatoria?

Corso GDPR - Regolamento Generale sulla Protezione dei Dati Personali
Rate this post

La valutazione d’impatto quando si parla di protezione di dati personali è di estrema importanza per garantire il trattamento conforme al GDPR dei dati con cui si entra in contatto. All’articolo 35 del Regolamento UE 2016/579 troviamo un riferimento chiaro dell’importanza della DPIA (Data Protection Impact Assessment), non solo per osservare i requisiti stabili per legge ma anche per evitare alle aziende sanzioni pesanti.

Quali sono le responsabilità, quando è obbligatoria la DPIA e cosa si intende per valutazione d’impatto sulla protezione dei dati? Continua a leggere!

Di cosa parliamo in questo articolo:

Obbligo DPIA

La valutazione d’impatto sulla protezione dei dati personali è obbligatoria ogni volta che si presenta un rischio elevato per i diritti e le libertà delle persone. Per rendere più chiaro l’obbligo, il garante per la protezione dei dati ha fornito un elenco che riguarda le tipologie di trattamento, soggetti al meccanismo di coerenza, da sottoporre alla valutazione. Puoi trovare maggiori informazioni all’interno dell’Allegato 1 del provvedimento 467 dell’11/10/2018.

Abbiamo parlato di tipologie di trattamento, nello specifico quelli sottoposti a DPIA sono 12 e sono:

  1. trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici, che permettono il controllo a distanza dell’attività dei dipendenti, come ad esempio videosorveglianza e geolocalizzazione;
  2. trattamenti automatizzati volti ad assumere decisioni con effetti giuridici o che incidono significativamente sull’interessato (come gli screening dei clienti di una banca attraverso l’uso di dati registrati in una centrale rischi);
  3. trattamento su larga scala di dati estremamente personali, legati alla vita familiare o privata, informazioni che incidono sull’esercizio di un diritto fondamentale o la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato;
  4. trattamenti che utilizzano in modo sistematico i dati per l’osservazione, il monitoraggio o il controllo dei soggetti interessati;
  5. trattamenti non occasionali di dati che riguardano soggetti vulnerabili, come minori, anziani, disabili, richiedenti asilo, infermi di mente, pazienti, etc;
  6. trattamenti per utilizzi innovativi o nuove soluzioni tecnologiche o organizzative, come il riconoscimento facciale, device IoT, etc;
  7. trattamenti valutativi o di scoring su larga scala, inclusa la profilazione degli interessati;
  8. trattamenti che prevedono lo scambio, tra diversi titolari, di dati su larga scala via telematica;
  9. trattamenti effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi quelli che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento;
  10. trattamenti di categorie particolari di dati ai sensi dell’art. 9 o relativi a condanne penali e a reati di cui all’art. 10, interconnessi con altri dati personali raccolti per finalità diverse;
  11. trattamenti sistematici di dati genetici;
  12. trattamenti sistematici di dati biometrici, trattati per identificare univocamente una persona fisica.

Se sono presenti almeno due dei trattamenti appena esposti allora la DPIA è obbligatoria.

Valutazione DPIA e responsabilità

Il titolare del trattamento è colui che è responsabile della valutazione di impatto sulla protezione dei dati personali. Questa figura può delegare la realizzazione all’interno o all’esterno dell’azienda. Il suo ruolo è strettamente connesso al responsabile sulla protezione dei dati, che deve sorvegliare sullo svolgimento della DPIA e, qualora necessario, può ascoltare il parere di esperti di settore come il responsabile IT e chi si occupa della sicurezza dei sistemi informativi.

Il GDPR all’articolo 35 elenca i contenuti minimi che devono essere presenti nella valutazione. Tra questi troviamo:

  • le misure previste per far fronte ai rischi e per dimostrare di essere conformi al regolamento;
  • la valutazione dei rischi per i diritti e le libertà delle persone interessate;
  • la valutazione delle esigenze e della proporzionalità dei trattamenti, in base alle finalità;
  • una descrizione che permetta di comprendere nel dettaglio i trattamenti previsti e le finalità.

Al suo interno è necessario tenere conto anche dei codici di condotta, che troviamo all’articolo 40 del GDPR.

Vuoi sapere di più sull’argomento? Su Unione Professionisti puoi trovare il Corso GDPR per acquisire tutte le competenze necessarie per occuparti del modello DPIA, dell’analisi del rischio e della valutazione d’impatto.

Tutti I Corsi
Avatar photo

Il Blog di Unione Professionisti è una piattaforma di contenuti e servizi dedicata al mondo del lavoro e delle libere professioni. Con i professionisti ci rapportiamo e confrontiamo ogni giorno per fornire un'informazione dettagliata a 360 gradi. Il nostro staff di collaboratori è composto da giornalisti, professionisti, esperti in formazione professionale, grafici, esponenti del mondo imprenditoriale e non solo. Oltre alle classiche news, alle guide tecniche, agli approfondimenti tematici, alle segnalazioni di opportunità lavorative, offriamo anche un utile servizio di documenti in pdf (normative, fac-simile, modulistica … ) liberamente scaricabili e riutilizzabili.

0 Commenti

Non ci sono commenti!

Non ci sono ancora commenti, ma puoi essere il primo a commentare questo articolo.

Lascia un commento