La DPIA: chi, cosa, come e perché?
Tra le numerose e significative novità introdotte da Regolamento Europeo 679/2016, una di quelle che suscita maggior interesse e si caratterizza in termini di discontinuità rispetto al Codice Privacy è senz’altro la Data Protection Impact Assessment (DPIA), termine molto ‘cool’ che in italiano si traduce Valutazione di Impatto sulla Protezione dei Dati.
La DPIA è l’espressione più pura del principio di accountability (responsabilizzazione) di cui il GDPR è permeato. Si pensi a come il considerando 89 del Regolamento, sancisca l’abrogazione di un adempimento meramente formale come la notificazione al Garante con la DPIA.
Ma che cos’è la DPIA?
La Valutazione di Impatto è un processo di valutazione, azione, verifica e miglioramento delle condizioni del trattamento dei dati strutturato sul modello classico del cerchio di Deming (PDCA), necessario per valutare l’impatto che determinati trattamenti possono avere su determinate categorie particolari di dati, quali sono le misure da adottare e in quale misura queste ultime mitighino i rischi incombenti sui dati, proprio in ragione della tipologia di trattamenti a cui essi sono sottoposti.
I soggetti che sono tenuti a predisporre e tenere aggiornata una DPIA sono tutti i titolari del trattamento che effettuino trattamenti con nuove tecnologie che presentino un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare al comma 3, art. 35, il legislatore europeo specifica che la valutazione di impatto è richiesta in particolare laddove il titolare effettui:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche. Si pensi alle carte fedeltà della grande distribuzione al dettaglio, o, ancor più ai più rilevanti supermarket digitali, come Amazon, ad esempio;
- un trattamento, su larga scala, di categorie particolari di personali (es. salute, genetici, biometrici, idee politiche o religiose, razza ed etnia, preferenze sessuali) o di dati relativi a condanne penali e a reati, ad esempio ospedali, tribunali, istituti di assicurazione;
- una sorveglianza sistematica su larga scala di una zona accessibile al pubblico, come ad esempio la videosorveglianza in centri commerciali, aeroporti, parcheggi pubblici, aree pubbliche antistanti alle banche.
La Valutazione di Impatto deve essere effettuata prima che il trattamento abbia inizio. Se, all’esito, della Valutazione il rischio per le libertà fondamentali risulti essere elevato, il titolare non potrà procedere con il trattamento, ma dovrà ricorrere alla consultazione preventiva del Garante, come stabilito dall’articolo 36.
Le ragioni per le quali occorre procedere alla DPIA sono piuttosto evidenti. Tutti quei trattamenti che possano mettere a rischio le libertà fondamentali dei cittadini europei devono essere sottoposti a Valutazione di Impatto, si pensi ai diritti di libertà nelle scelte di consumo, di pari opportunità, di prevenire il pregiudizio.
Come già detto in apertura di questo articolo, la DPIA non è un processo da portare a compimento in modo isolato, una tantum, ma una valutazione e ri-valutazione continua, da revisionare e ridimensionare in maniera dinamica e coerente con lo sviluppo di nuove tecniche e tecnologie, del diritto e delle aspettative dei soggetti interessati al trattamento. Il Regolamento non offre spunti metodologici circa le modalità con cui effettuare una Valutazione di Impatto; in verità molto ancora c’è da fare e da dire attorno alla DPIA, non ultime le attese indicazioni che dovrebbero arrivare dal nostro Garante circa i trattamenti per i quali la DPIA è prescritta, tuttavia documenti da prendere a riferimento ad oggi non mancano, si pensi alle linee guida del 4 Aprile 2017 nel Gruppo di Lavoro Ex art. 29, oppure alla ISO 29134:2017.
In conclusione, la Data Protection Impact Assessment dovrà assurgersi a key process per dimostrare la consapevolezza del titolare nei confronti di un trattamento responsabile dei dati.
Andrea Martello
General Manager Italia
Exova BM TRADA
Per qualsiasi dubbio e/o chiarimento, Vi invitiamo a contattare il nostro Studio.