Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati – Garante Privacy

L’avvento del Regolamento UE n. 2016/679, con l’art. 35, ha definitivamente incastonato nel quadro normativo europeo lo strumento della valutazione d’impatto sul trattamento dei dati personali, che dona forma concreta all’accountability. Dal 25 maggio 2018, infatti, il Titolare del trattamento deve in prima persona compiere – in una serie di ipotesi suscettibili di future integrazioni – una serie di riflessioni, approfondimenti e valutazioni che dovranno fondare la sua decisione finale circa la fattibilità, con quali modalità e strumenti, o la non possibilità di avviare determinati trattamenti di dati oppure di utilizzare determinate tecnologie. 

Casi in cui è obbligatorio un DPIA

L'art. 35, comma 1, del GDPR prevede che il processo di DPIA sia obbligatorio quando un trattamento di dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche. A riguardo, al fine di assicurare un’interpretazione coerente delle circostanze in cui risulta obbligatorio lo svolgimento di un DPIA, il gruppo di lavoro ex articolo 29 (gruppo di lavoro di cui fanno parte tutte le Authority Privacy di ciascun Stato Membro dell’Unione Europea, c.d. “WP-29”) ha pubblicato il 4 aprile 2017 un documento contenente le linee guida per lo svolgimento di un DPIA chiarendo il concetto espresso dall’articolo 35, 1°c. GDPR.[3] E’ opportuno sottolineare, dunque, come il GDPR affidi al solo Titolare (coadiuvato eventualmente dal D.P.O.) il compito di valutare se il trattamento progettato rientri o meno tra i casi per i quali il DPIA è obbligatorio. Il titolare del trattamento, dunque, è tenuto a consultare il DPO, qualora designato, e ad attenersi al parere ricevuto. Il DPO, dal canto suo, ha l’obbligo di monitorare lo svolgimento del DPIA e di fornire il suo parere per iscritto, in quanto determinante ai fini dell’esito positivo della procedura in esame. Va evidenziato, inoltre, come, al fine di sensibilizzare e responsabilizzare il titolare, il GDPR non elenchi tassativamente i casi nei quali è obbligatorio procedere ad un DPIA, ma si limiti ad elencare tre ipotesi nelle quali esso è richiesto all’art.35, c.3: quando il trattamento comporta una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; quando il trattamento avviene su larga scala e riguarda categorie particolari di dati personali di cui all’articolo 9 paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; quando il trattamento ha ad oggetto la sorveglianza sistematica su larga scala di una zona accessibile al pubblico; Inoltre, bisogna sottolineare che il WP-29, su tale punto, suggerisce di effettuare il DPIA in tutti i casi in cui sussistono dei dubbi circa l’opportunità di espletare tale procedura, poiché risulta, in ogni caso, uno strumento utile per i titolari del trattamento in termini di compliance con le norme in materia di protezione dei dati.

Notizie