La valutazione d'impatto sulla protezione dei dati personali (DPIA)
Il GDPR introduce il concetto di valutazione di impatto sulla protezione dei dati personali (c.d. DPIA) per i trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
La valutazione consiste in un processo in cui è descritto il trattamento, una sua valutazione sulla base del criterio di necessità e di proporzionalità, i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, i sistemi di gestione dei rischi ed una valutazione delle conseguenze che i rischi comportano.
La DPIA è richiesta quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono trattati dati sensibili, o anche per una combinazione di questi e altri fattori.
L'art. 35 par. 3 del GDPR prevede che la valutazione è obbligatoria nei casi in cui:
- a) sia necessaria "una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche";
- b) sia effettuato un trattamento su larga scala, di categorie particolari di dati personali di cui all'art. 9, par. 1 del GDPR, o di dati relativi a condanne penali e a reati di cui all'art. 10;
- c) sia prevista "la sorveglianza sistematica su larga scala di una zona accessibile al pubblico".
Possono sussistere, tuttavia, operazioni di trattamento a "rischio elevato" che non trovano collocazione in tale elenco ma che presentano rischi altrettanto elevati e pertanto soggetti alla valutazione di impatto sulla protezione dei dati.
Il Garante della protezione dei dati ha redatto un elenco delle tipologie di trattamenti da sottoporre a valutazione d'impatto.
Sul sito del Garante è segnalato quale strumento di supporto ai titolari, il software realizzato dal Garante francese e personalizzato in italiano a cura dello stesso Garante.
Principali documenti sulle valutazioni di impatto
Scheda descrittiva del Garante sulla Valutazione d'impatto sulla protezione dei dati
Valutazione d'impatto. Quando effettuarla?
Elenco delle tipologie di trattamenti da sottoporre a valutazione d'impatto
Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248)
Software di ausilio ai titolari per l'effettuazione della valutazione d'impatto sulla protezione dei dati