Trustpilot
it_IT Italiano
it_IT Italiano en_US English de_DE_formal Deutsch (Sie) es_ES Español fr_FR Français
Main Menu
Cerca
Chiudere questa casella di ricerca.
Richiedi un preventivo

DPIA: Data Protection Impact Assessment

Condividi questo articolo

DPIA: Data Protection Impact Assessment, valutazione d’impatto della protezione dei dati privati

Ecco le principali caratteristiche del DPIA, Data Protection Impact Assessment, la valutazione d’impatto del trattamento ad opera del titolare.

Al fine di garantire una cospicua protezione dei dati personali, sono state adottate ingenti misure dagli organi competenti, tra le quali spicca il Gdpr,il regolamento generale dell’UE sulla protezione della privacy. Questa normativa diventerà operativa il 25 maggio 2018, su tutte le nazioni appartenenti alla Comunità Europea. Tutte le aziende che incentrano le proprie attività nei territori comunitari devono adeguare i loro siti web a questa direttiva europea.

Tra gli elementi cardini di questo provvedimento vi è il DPIA, Data Protection Impact Assessment, valutazione d’impatto della protezione dei dati privati E’ un sistema di valutazione dei rischi che possono derivare da potenziali infrazioni al trattamento dei dati personali, nonché di eventuali strascichi annessi.

Questa tematica è stata affrontata precedentemente dal Gruppo dei garanti della privacy del GDPR (WP29), il quale ha definito i punti salienti riguardanti la valutazione d’impatto in caso di violazione della protezione dei dati. Raccomanda inoltre di impiegarla per tutti i trattamenti dei dati personali, non solo per quelli ad alto rischio.

DPIA: Data Protection Impact Assestment

La DPIA consiste in una valutazione iniziale degli impatti e dei pericoli che possono interessare una possibile infrazione del trattamento delle informazioni personali. Consente al titolare di dimostrare l’adempimento dei mezzi necessari a rispettare la normativa GDPR.

Questa analisi è caratterizzata da due considerazioni:

  • livello di rischio, dei diritti degli utenti interessati;
  • stato evolutivo e tecnologico dei mezzi adoperati per il trattamento dei dati.

Al fine di individuare le misure idonee a diminuire i rischi, il documento determina solamente i criteri da seguire. Viene espressa una discordanza tra le misure atte a limitare i rischi e quelle dirette a palesare il rispetto del GDPR. 
La cosa che rileva maggiormente dalle linee guida è, tuttavia, la concezione che la valutazione del rischio non è una attività singola ed unica nel tempo, ma un processo e un flusso costante.

Gestore della conduzione della valutazione d’impatto DPIA

Il garante unico della valutazione d’impatto è il titolare del trattamento. Quest’onere non può essere affidato a nessun’altra figura.  La gestione può essere eseguita autonomamente, all’interno dell’apparato aziendale, o delegando il compito a terzi.  Tuttavia il titolare, che deve mantenere un controllo continuo, rimane il solo e unico ad avere la completa responsabilità. Di conseguenza diviene necessario mantenere una diretta interazione con il DPO, Data Protection Officer, il dipendente che si occupa della tutela e dell’immagazzinamento delle informazioni personali.

Pertanto il Titolare del trattamento ha l’obbligo di identificare le cause, la complessità, e i fattori che caratterizzano il rischio, ma anche lo scopo e la modalità d’utilizzo dello stesso, prima che i dati vengano estrapolati. Non a caso in presenza di alta pericolosità del dato, pesanti saranno le ripercussioni in termini d’impatto.

La normativa elenca due punti diversi riguardo questa problematica: 

  • art.24, il quale pone l’esaminazione dei rischi tra i punti cardini, per mettere in atto i provvedimenti necessari alla salvaguardia del trattamento. Il titolare infatti ha l’onere di attestare di avere preso gli accorgimenti necessari per allineare il trattamento al regolamento GDPR;
  • art. 35, in caso di grossi pericoli per la privacy degli utenti interessati, diviene necessario attuare una peculiare valutazione d’impatto;
  • art 36, sancisce l’obbligo di un consulto cautelativo da parte dell’autorità di controllo nel caso in cui il titolare reputa l’adattamento di specifici provvedimenti.

Il titolare deve sottostare ad alcune direttive:

  • illustrare i motivi delle valutazioni, e delle scelte effettuate, nel documento scritto che compone la parte convenzionale della DPIA;
  • Definire la figura che ha eseguito l’analisi dei trattamenti, e determinato gli accorgimenti necessari;
  • Precisare se si ha commissionato un professionista esterno;
  • Incarico eseguito dal gestore del trattamento;
  • Punti di vista del DPO, previa nomina.

Quando la DPIA è prevista dal regolamento

La DPIA è necessaria in presenza di alti rischi per i diritti degli utenti. A seguire inoltriamo l’articolo35, comma 3 del GDPR, che illustra appieno la questione:

la valutazione d’impatto è obbligatoria in presenza di:

  • Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato;
  • un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
  • Una sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

SI può facilmente osservare come i canoni relativi ad una necessaria valutazione d’impatto siano:

  • proroga e circostanza del trattamento,
  • Numero degli interessati
  • Caratteristiche delle informazioni private

La DPIA deve essere eseguita antecedentemente all’inizio del trattamento. In caso di assenza di pericoli può essere arrestata. In questo frangente è opportuno tenere in considerazione anche le componenti fisiche degli strumenti utilizzati.

Quando la DPIA non è obbligatoria

Secondo le disposizioni del gruppo dei garanti, la DPIA non va attuata in alcuni casi:

  • Basso pericolo dei diritti e della privacy degli utenti;
  • Controllo già eseguito dall’Autorità di controllo prima dell’emissione del GDPR (25 maggio 2018)
  • Riferimenti a direttive di uno stato comunitario
  • In caso di trattamenti facoltativi

Se hai bisogno di una consulenza puoi contattare l’Avvocato Gabriele Carmelo Gallo con il quale collaboro per porre il tuo quesito.

Condividi questo articolo

Tabella dei Contenuti

Segui il mio canale WhatsApp

Clicca qui

Seguimi sui social

Facebook Instagram Twitter Linkedin Youtube

Ultimi Post

Guida Answer The Public per contenuti SEO.

Esplorare e Innovare: Sfruttare Answer The Public per Rispondere Meglio al Tuo Pubblico

Leggi
Gestione email Mailer-Daemon, uomo confuso.

Come Gestire le Email di Ritorno dal Mailer-Daemon

Leggi
Guida veloce per inviare allegati con PEC.

come inviare un allegato con la pec?

Leggi
Guida al servizio risposta INPS.

come scrivere a INPS risponde?

Leggi
Informazioni su registrazione marchi con catene.

La Guida Definitiva alla Registrazione del Marchio: Requisiti e Strategie

Leggi

Rispondi

Cosa dicono i miei clienti

Server aiuto? Registrati su CRM G Tech Group il gestionale della mia società e ricevi supporto!

News

Logo Treedom con albero, anno 2023.
Partner Bancomail Accreditato

Aiutami a rispettare l'ambiente

Potrai decidere di devolvere lo 0,5% della tua fattura per piantare alberi in tutto il mondo e monitorare la crescita sulla nostra pagina treedom tutti gli alberi vengono geolocalizzati e fotografati al momento in cui vengono piantati. Dal momento dell’acquisto servono da alcune settimane a qualche mese prima che un albero sia pronto per essere piantato.

© 2013 – 2023 G Tech Group di Gianluca Gentile – Via di Gagia 22, 38086 Giustino (TN) – P.IVA 12238501006 – C.F. GNTGLC91T25F611W

 Codice Destinatario: SZLUBAI

Gianluca Gentile