Lo scorso aprile sono state emanate le prime linee guida per l’adozione della DPIA, strumento essenziale e previsto dal GDPR che consente al titolare del trattamento di rispettare gli adempimenti del Regolamento Europeo e di rendere dimostrabili le misure di sicurezza adottate a garantirne il rispetto.
Occorre effettuale una DPIA (Valutazione d’impatto) quando un trattamento potrebbe presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, chiede un parere al responsabile della protezione dei dati, qualora ne sia designato uno.
La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei seguenti casi:
- una valutazione sistematica e globale di aspetti della personalità degli interessati, basata sulla profilazione e da cui discendono decisioni che hanno effetti giuridici sugli interessati o incidono gravemente sugli interessati;
- il trattamento su larga scala di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza;
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
In Italia costituisce un elemento di novità (ne avevamo già discusso in questo articolo), perciò, soprattutto nel nostro paese, le linee guida assumono un’importanza maggiore.
Quali sono le novità?
Fra le principali novità troviamo:
- La DPIA per ogni trattamento: ogni trattamento deve essere analizzato dal titolare anche al fine di verificare se i rischi che ne derivano siano o no elevati. Quindi, prima di porre in essere un qualunque trattamento, è sempre necessaria l’analisi dei rischi che possono derivarne. Secondo le ultime linee guida, dunque, non vi è una sostanziale differenza tra quanto previsto dall’art. 24 e dagli articoli 35 e 36, dall’altro. Ne consegue che è opportuno che il titolare svolga la valutazione di rischio rispetto ad ogni trattamento.
- Le misure tecniche: le linee guida non contengono indicazioni specifiche su questo punto ma viene specificato comune che la PIA non è da intendersi come un’attività una tantum ma che dev’essere un processo continuo.ù
- Il regolamento non specifica quale procedura debba essere seguita ai fini della PIA, lasciando ai titolari la definizione di uno schema che integri le rispettive prassi sviluppato in rapporto alle specifiche esigenze del titolare, ovvero utilizzabile da un intero settore produttivo. Per questo motivo, nella parte finale del documento vengono indicate importanti risorse relative agli schemi già presenti e usati negli altri stati Europei in cui la PIA è già una prassi consolidata.