Come effettuare una valutazione di impatto DPIA
3 Novembre 2021
Cancelliamo i Dati Indesiderati
Tel. 06 39754846
La valutazione d’impatto sulla protezione dei dati, in acronimo DPIA è uno strumento di fondamentale importanza poiché consente di gestire più facilmente i rischi per i diritti e le libertà delle persone fisiche rispetto al trattamento dei loro dati personali.
Il GDPR all’art. 35 introduce l’istituto della data protection impact assessment (DPIA) quale strumento per descrivere il trattamento, valutarne necessità e proporzionalità e quindi facilitare la gestione dei rischi collegati ai diritti ed alle libertà precisando che: “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.
Il DPIA non solo consente quindi alle persone fisiche di avere maggiore contezza sul trattamento effettuato ma allo stesso tempo consente al Titolare del Trattamento, anche per il tramite del Responsabile (DPO) di conformarsi alla normativa data protection.
Il DPIA quindi analizza il livello del rischio e contestualmente individua le misure idonee ad evitarlo.
Dal punto di vista normativo, prima dell’introduzione del D.lgs. nr. 101/2018 l’approccio alla materia GDPR era regolamentato secondo il rispetto di talune “misure minime di sicurezza” mentre oggi si parla invece di “misure di sicurezza adeguate al rischio”.
Il Titolare del Trattamento in quest’ottica di accountability, dovrà effettuare preventivamente l’analisi dei rischi dei trattamenti posti in essere.
L’art. 24 del Regolamento precisa, ancora, che tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento effettuato è conforme al regolamento.
È invece l’art. 35, co. 3, come sopra richiamato, che supporta il Titolare del Trattamento andando a definire quali sono i casi in cui è necessario effettuare un DPIA ed in particolare è sicuramente necessario che la stessa sia effettuata in un momento antecedente al Trattamento; più precisamente quando vi sia:
-una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione;
-il trattamento, su larga scala, di categorie particolari di dati personali (ex art. 9 del GDPR) o di dati relativi a condanne penali e a reati (ex art. 10 del GDPR);
-sorveglianza su larga scala di una zona accessibile al pubblico.
L’Autorità francese per la Protezione dei dati personali ha messo a disposizione un software gratuito che è in grado di gestire l’intero processo DPIA denominato “PIA” che costituisce un valido strumento di orientamento anche in relazione al c.d. ciclo di Deming.
Ideato negli Anni 50 da William Edwards Deming è un metodo di gestione interattivo in quattro fasi alla base delle norme ISO utile per ottimizzare i processi aziendali e migliorare la produzione, ma che può trovare applicazione anche nell’attuare l’articolo 24 del GDPR:
-PLAN: in questa fase è opportuno procedere alla pianificazione delle attività provvedendo all’analisi dei flussi, alla mappatura dei processi impattanti sul trattamento dei dati nonché ad effettuare una prima analisi dei trattamenti da sottoporre a valutazione;
-DO: in questa fase si procederà alla valutazione dei processi di trattamento sulla base delle metodologie predisposte nella precedente fase
-CHECK: in questa fase si procede alla gestione dei rischi distinguendo tra rischio insito e residuale e, quindi, verificando in merito agli eventuali rischi residuali la necessità di procedere alla consultazione preventiva del Garante ai sensi dell’art. 36;
-ACT: in quest’ultima fase si provvede al consolidamento e implementazione dei processi e degli strumenti sulla base delle rilevazioni ottenute dalla verifica. Sulla base delle attività di verifica e monitoraggio, si esaminano i risultati ottenuti, le problematiche eventualmente emerse nella fase di esecuzione e si definiscono le successive attività per consolidare gli obiettivi raggiunti e migliorare i processi. Inoltre, in tale fase vengono individuate le azioni correttive che permettono di risolvere eventuali non conformità; c’è da dire che la DPIA è uno strumento più che efficace per poter prevenire tutte quelle operazioni di cancellazione di notizie o deindicizzazionedi URL a seguito di rimozione del consenso per i dati personali.
Con riferimento ai contenuti di una DPIA non vi è un “minimo” da rispettare ma è opportuno che riporti almeno una descrizione dei Trattamenti e delle loro finalità; una valutazione sulla proporzionalità dei Trattamenti rispetto alle finalità perseguite; una valutazione dei rischi ed infine delle misure idonee a mitigarli.