DOMANDA: DPIA (Valutazione d'impatto): criteri di obbligatorietà e metodologie di analisi

Risponde Pierpaolo Benzi

La Valutazione d'Impatto sulla Protezione dei Dati, o DPIA, è uno strumento fondamentale previsto dal GDPR per analizzare e mitigare i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. Non è un mero adempimento burocratico, ma un processo di analisi sostanziale. L'obbligo di condurre una DPIA scatta quando un trattamento, per sua natura, oggetto, contesto e finalità, può presentare un rischio elevato. Il Regolamento stesso, e le linee guida dell'EDPB, ci aiutano a identificare tali situazioni: ad esempio, trattamenti su larga scala di categorie particolari di dati (art. 9) o di dati relativi a condanne penali, la sorveglianza sistematica su larga scala di una zona accessibile al pubblico, oppure l'uso di nuove tecnologie considerate potenzialmente invasive.

L'approfondimento: Come si conduce una DPIA in pratica?

La conduzione di una DPIA segue una metodologia precisa, che va oltre la semplice compilazione di un modulo. Il primo passo è descrivere in modo sistematico il trattamento, specificando le finalità, i dati trattati, i destinatari e i tempi di conservazione. Successivamente, si valuta la necessità e la proporzionalità del trattamento rispetto alle finalità perseguite, verificando la base giuridica e il rispetto dei principi fondamentali. Il cuore dell'analisi è la valutazione dei rischi per i diritti e le libertà degli interessati, considerando la probabilità e la gravità di ogni potenziale impatto negativo. Infine, si definiscono le misure tecniche e organizzative previste per mitigare tali rischi, come la pseudonimizzazione, la cifratura o procedure interne di gestione. Questo processo deve essere documentato e, se necessario, aggiornato nel tempo.

Il dettaglio normativo: Quali sono i riferimenti normativi e le linee guida essenziali?

Il riferimento normativo principale è l'Articolo 35 del GDPR, che ne disciplina l'obbligatorietà e il contenuto minimo. A questo si affianca l'Articolo 36, che regola la consultazione preventiva dell'Autorità di controllo qualora, nonostante le misure di mitigazione individuate, il rischio residuo rimanga elevato. Fondamentali sono poi le Linee Guida WP248 rev.01 del Comitato Europeo per la Protezione dei Dati (EDPB), che forniscono criteri dettagliati per stabilire quando un trattamento è "suscettibile di presentare un rischio elevato". In Italia, inoltre, il Garante per la Protezione dei Dati Personali ha pubblicato con il Provvedimento n. 467 del 11 ottobre 2018 un elenco (non esaustivo) di tipologie di trattamenti da sottoporre a DPIA.

Se sei un consulente privacy, DPO o semplicemente un appassionato della materia iscriviti ad AIP ed avrai molti vantaggi e la possibilità di confrontarti con un network di professionisti italiani.