Quando l’azienda è obbligata a redigere l’analisi di impatto sulla protezione dei dati (Dpia – Data Protection Impact Assessment).
Definiamo, per prima cosa, di che si tratta: la Dpia è un documento, richiesto dall’art. 35 del GDPR, che va redatto prima di iniziare un trattamento con determinate caratteristiche.
Di seguito, il testo riportato sul sito del Garante, ci dice quando è obbligatoria:
In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito:
-trattamenti valutativi o di scoring, compresa la profilazione;
-decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
-monitoraggio sistematico (es: videosorveglianza);
-trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
-trattamenti di dati personali su larga scala;
-combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
-dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
-utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
-trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
–
La DPIA è necessaria in presenza di almeno due di questi criteri, ma – tenendo conto delle circostanze, il titolare può decidere di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.
La Dpia dovrebbe essere redatta dal titolare dei trattamenti, anche se può avvalersi della competenza di consulenti specializzati.
In cosa consiste
Si tratta di una relazione dettagliata del trattamento, che contiene: tutte le caratteristiche dello stesso; una sua descrizione; su quali e quanti soggetti impatta; quali sono i rischi e gli impatti sui diritti e sulle libertà fondamentali degli interessati e quali misure si prevede di mettere in atto per la loro mitigazione.
Ad esempio, il trattamento di dati personali riguardanti i minori, può essere reso meno rischioso limitandone i trasferimenti e adottando misure tecniche di protezione del dato, quali la crittografia e la pseudonimizzazione.
Nel caso in cui le misure intraprese non fossero ancora sufficienti a garantire i diritti e le libertà dei soggetti, è prevista la possibilità di consultare direttamente il Garante della protezione dei dati personali.
La Dpia dovrebbe essere rivista spesso, almeno ogni 1 o 2 anni.
Per quanto riguarda il trattamento di videosorveglianza, è obbligatoria se le riprese riguardano un numero massivo di soggetti; se comprende soggetti vulnerabili (minori, anziani, etc.) o se viene effettuato un rilevamento biometrico. Per gli altri casi, è da valutare se conviene redigerla o meno.
Daniele Umberto Spano – Ceo Kruzer
