Valutazione d’impatto sulla protezione dei dati (DPIA)

In base al nuovo regolamento generale sulla protezione dei dati dell’UE (GDPR), le organizzazioni devono effettuare valutazioni d’impatto sulla protezione dei dati (DPIA) ogni volta che iniziano un trattamento di dati personali che potrebbe comportare “un rischio elevato per i diritti e la libertà delle persone”.

Le DPIA aiutano le organizzazioni ad identificare, valutare e mitigare (o minimizzare) i rischi legati alla privacy dei dati personali oggetto delle attività di trattamento. Sono particolarmente rilevati quando si implementa un nuovo processo, un nuovo sistema o una nuova tecnologia di trattamento dei dati.

Le DPIA supportano il principio di responsabilizzazione (accountability) del Regolamento, ossia aiutano le organizzazioni a dimostrare di aver adottato le misure appropriate richieste dal GDPR.

La mancata esecuzione di una DPIA dove richiesto costituisce una violazione del Regolamento e potrebbe tradursi in una sanzione pecuniaria fino al 2% del fatturato annuo globale dell’organizzazione o fino a 10 milioni di euro, a seconda di quale valore sia maggiore.

Per maggiori informazioni su come eseguire DPIA, parla con un nostro esperto, è a tua completa disposizione.

Parla con un esperto

Come eseguire una DPIA

Il GDPR descrive le caratteristiche fondamentali di una DPIA all’Art. 35, paragrafo 7 e nei Considerando 84 e 90.

Il processo di esecuzione di una DPIA è tipicamente formato da questi passaggi:

  1. Descrizione dei trattamenti previsti e delle finalità del trattamento
    Si devono indicare la natura, l’ambito di applicazione, il contesto e le finalità del trattamento; come i dati vengono memorizzati e per quanto tempo; come avviene il processo di trattamento dei dati.

  2. Valutazione della necessità e proporzionalità dei trattamenti
    Si devono indicare le misure che contribuiscono alla necessità e proporzionalità del trattamento dei dati e quelle che garantiscono i diritti degli interessati.

  3. Misure previste per dimostrare l’osservanza
    Si deve indicare quali misure sono messe in atto per dimostrare la conformità al Regolamento.

  4. Valutazione dei rischi per i diritti e le libertà dell’interessato
    Si devono indicare l’origine, la natura, la particolarità e la gravità dei rischi.

  5. Misure previste per affrontare i rischi identificati
    Si devono indicare le misure con cui si affrontano i rischi identificati nel punto precedente.

  6. Documentazione delle decisioni prese

  7. Monitoraggio e revisione


Perché è necessario eseguire DPIA?

Il GDPR richiede l’esecuzione di una valutazione d’impatto sulla protezione dei dati laddove il trattamento dei dati “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

L’esecuzione di DPIA è richiesta in tre casi particolari:

  1. "Valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche".

  2. Per il trattamento, su larga scala, di categorie particolari di dati personali (per esempio dati sulla salute, razza, opinioni politiche, ecc.) o di dati relativi a condanne penali

  3. "La sorveglianza sistematica su larga scala di una zona accessibile al pubblico".

Esempi di trattamento dei dati che richiedono l’esecuzione di una DPIA:

  • Un ospedale che tratta i dati genetici e sulla salute dei propri pazienti nel suo sistema informatico.

  • L’archiviazione di dati sensibili pseudonimizzati relativi a progetti di ricerca o studi clinici.

  • Un’organizzazione che utilizza un sistema di analisi video intelligente per individuare le auto e riconoscere automaticamente le targhe.

  • Un’organizzazione che controlla in modo sistematico le attività dei propri dipendenti, postazioni di lavoro e attività Internet incluse.

  • La raccolta di dati sui social media per la creazione di profili.

  • Un’istituzione che realizza un rating del credito a livello nazionale o un database di frodi.

Il WP29 (Gruppo di Lavoro Articolo 29) era responsabile dell’emissione di linee guida e pareri sui diversi aspetti del GDPR. Le sue linee guida sulla DPIA stabiliscono i criteri che le organizzazioni dovrebbero prendere in considerazione per determinare i rischi posti dal processo di trattamento dei dati. Più criteri vengono soddisfatti, maggiore è la probabilità di presentare un alto rischio per i diritti e le libertà delle persone fisiche, e quindi la necessità di eseguire una DPIA.

Leggi le linee guida del Gruppo di Lavoro Articolo 29 >>


Quando si deve eseguire una DPIA?

Una valutazione d’impatto sulla protezione dei dati dovrebbe essere eseguita il più presto possibile nella fase iniziale del progetto, in modo che i risultati ed i pareri ottenuti possano essere incorporati nel progetto delle operazioni di trattamento.

Adottare un approccio volto alla “protezione dei dati fin dalla progettazione” è importante per ridurre i rischi legati alla privacy e creare fiducia. Nel processo di creazione di progetti, processi, prodotti o sistemi, l’esecuzione di una DPIA può portare i seguenti vantaggi:

  • Identificare i problemi potenziali sin dalle prime fasi del progetto;
  • Risolvere i problemi alla fonte è spesso più semplice e meno costoso;
  • Avere una maggiore consapevolezza della privacy e della protezione dei dati in tutta l’azienda;
  • Diminuire la probabilità di violazione del Regolamento;
  • Diminuire la probabilità che i nuovi sistemi o processi danneggino la privacy delle persone e abbiano un impatto negativo.

Chi dovrebbe eseguire DPIA?

I titolari del trattamento hanno la responsabilità di eseguire DPIA.

Le DPIA dovrebbero essere eseguite da persone con adeguate competenze e conoscenze del progetto in questione, solitamente tale compito ricade sui membri del team di progetto. Se la propria organizzazione non possiede le competenze e l’esperienza necessaria richiesta per l’esecuzione di DPIA, ci si può rivolgere a specialisti esterni.

Secondo il Regolamento, le organizzazioni che hanno l’obbligo di nomina di un responsabile della protezione dei dati (DPO) devono coinvolgere il DPO nell’esecuzione di DPIA, in modo tale che il parere ottenuto e le decisioni prese siano documentate come parte del processo di DPIA.


Le nostre soluzione per aiutarti ad eseguire DPIA.

Quando si esegue DPIA come parte del progetto di conformità al GDPR, è importante sapere se si possiedono le conoscenze e competenze necessarie e le risorse per soddisfare i requisiti delle valutazioni d’impatto. Le soluzioni offerte da IT Governance ti aiuto a colmare i gap di conformità al GDPR.

EU General Data Protection Regulation (GDPR) – An Implementation and Compliance Guide, Second Edition

Questa guida contiene tutto ciò che devi sapere per avviare ed eseguire il progetto di conformità al GDPR nella tua organizzazione.

.

EU GDPR Documentation Kit

Accelera il tuo progetto di conformità al GDPR con i nostri modelli di documenti precompilati e personalizzabili con le informazioni della tua organizzazione.

Corso combinato di base e professionale certificato sul regolamento generale sulla protezione dei dati

Diventa un esperto di GDPR in 5 giorni. Questo corso ti illustra i requisiti fondamentali del Regolamento e ti permette di acquisire e migliorare le competenze necessarie per pianificare, implementare e mantenere un programma di conformità al GDPR nella tua organizzazione.


Parla con un esperto

Contatta il nostro team di consulenti esperti di GDPR e protezione dei dati per qualsiasi domanda o assistenza sui nostri prodotti e servizi.

su