DPIA (Data Protection Impact Assessment): cos’è la valutazione d’impatto e quando è obbligatoria
Cosa si intende per Data Protection Impact Assessment (DPIA); come funziona la “valutazione d’impatto” e in quali casi è obbligatorio svolgerla.
Al fine di garantire la tutela dei dati personali, il GDPR prescrive ai titolari del trattamento, in alcuni casi, l’obbligo di effettuare una valutazione dei rischi derivanti da violazioni, nonché delle possibili conseguenze. Questa valutazione, indicata all’interno del Regolamento europeo, prende il nome di “DPIA”, acronimo di Data Protection Impact Assessment, e indica la “valutazione d’impatto in caso di violazione della protezione dei dati”.
Il DPIA è sostanzialmente valutazione preliminare dei rischi che corre un trattamento ogni qualvolta si verifichi una violazione delle misure di sicurezza dei dati. Questo tipo di valutazione dipende necessariamente dal grado di rischio per i diritti dei soggetti interessati dal trattamento, così come dipende dalle modalità con le quali il trattamento viene svolto (in particolare, dagli strumenti tecnologici utilizzati per il trattamento e la conservazione dei dati). Questo significa che può rendersi necessario, per l’azienda o per il professionista incaricato di trattare i dati personali, eseguire più di una DPIA.
L’EDPB (Comitato europeo per la protezione dei dati) ha redatto delle linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, chiarendo anzitutto che la valutazione del rischio non debba essere considerata un’attività da svolgere una tantum, bensì un processo costante.
Questo documento, molto utile per chiarire il funzionamento di questa novità introdotta dal GDPR, sintetizza alcunicriteri che devono essere seguiti nello svolgimento della DPIA, differenziando tra misure di contenimento e riduzione dei rischi e misure utili adimostrare la conformità prescrizioni del GDPR.
L’articolo 24, descrivendo le caratteristiche dei trattamenti che è necessario tenere presenti al fine di mettere in atto le misure tecniche e organizzative adeguate al GDPR, inserisce tra queste la valutazione dei rischi, affermando poi che il titolare deve poter sempre dimostrare di aver adottato tutte le misure necessarie affinché il trattamento sia conforme al GDPR, in ossequio al principio di “accountability”;
Il titolare del trattamento è quindi l’unico responsabile per quel che riguarda la valutazione dei rischi. Chiaramente, il fatto che il titolare resti l’unico responsabile, non toglie che lo svolgimento “concreto” della DPIA possa essere eseguito sia internamente (e quindi con risorse proprie dell’azienda), sia esternamente, dando l’incarico a un soggetto diverso rispetto all’organizzazione che si occupa del trattamento dei dati.
Il titolare del trattamento, oltre a vigilare scrupolosamente sullo svolgimento della DPIA, è inoltre tenuto a consultare costantemente il Responsabile della protezione dei dati, il Data Protection Officer, se ne è stato incaricato uno, e con gli eventuali soggetti responsabili del trattamento, che a loro volta dovranno supportare e coadiuvare il titolare nella valutazione dei rischi.
Il GDPR disciplina la valutazione dei rischi tramite due differenti articoli: il 35 e il 36
- l’articolo 35 prescrive invece l’obbligo di svolgere una specifica valutazione di impatto quando i trattamenti, considerate le circostanze indicate nella norma, presentano (o possono presentare) rischi elevati per gli interessati. Lo stesso articolo indica e disciplina i casi in cui è necessaria la valutazione di impatto e determina le procedure e le modalità da seguire, oltre agli elementi da tenere in considerazione.
- L’articolo 36 obbliga a consultare l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.
In conclusione, il titolare del trattamento ha l’obbligo e la responsabilità di individuare i rischi, le loro possibili fonti e le tipologie in un momento precedente rispetto all’inizio del trattamento dei dati: chiaramente, maggiore sarà alta la “rischiosità” dei dati (in considerazione, come detto della tipologia dei dati e di come questi vengano trattati), maggiore sarà l’impatto di una eventuale violazione delle misure di protezione.
Aver valutato in precedenza il livello di rischio d’impatto non è di per sé sufficiente ad escludere possibili sanzioni in caso di violazioni, ma non averlo fatto (quando era necessario) espone certamente il titolare del trattamento alle severe conseguenze previste dal GDPR in caso di inadempimento.
Quando la DPIA è obbligatoria?
Come già ricordato il GDPR, all’articolo 35, stabilisce quali sono i casi nei quali le organizzazioni (aziende o professionisti) sono obbligate a svolgere una valutazione d’impatto sulla protezione dei dati prima di dare inizio a un trattamento. In particolare, la norma afferma che “la valutazione d’impatto è obbligatoria in presenza di:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato;
- un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
- una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Il GDPR lascia poi al Garante il compito di stabilire quali siano i trattamenti soggetti alla DPIA, tenendo sempre da conto, per individuare in quali casi siano obbligatorie le valutazioni d’impatto, l’estensione del trattamento, il numero di soggetti interessati e la natura dei dati oggetto di trattamento. In generale, la DPIA è necessaria quando il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone interessate al trattamento, e cioè quando, ad esempio:
- il trattamento riguarda dati sensibili o soggetti vulnerabili come i minori;
- il trattamento dei dati viene svolto in modo automatizzato;
- si è di fronte a un monitoraggio sistematico (o continuativo), come ad esempio avviene nel caso in cui sia attivo un sistema di videosorveglianza;
- vengono effettuati trattamenti valutativi dei dati, come ad esempio la profilazione;
- vengono trattati dati personali su larga scala.
Tuttavia, vista la sua utilità, è fortemente consigliata la valutazione d’impatto per tutti i trattamenti e non solo nei casi in cui il GDPR la prescrive come obbligatoria, sempre al fine di dimostrare – in ossequio al principio di accountability – che è stato fatto “tutto quanto era possibile” per prevenire le eventuali violazioni che potrebbero verificarsi.
Una volta eseguita un’analisi preliminare, qualora il titolare ritenga che il trattamento non comporti rischi elevati, può scegliere di non procedere oltre.
In conclusione, muovendo dal testo della normativa e da un’analisi delle linee guida elaborate, possiamo affermare che il titolare ha l’obbligo di analizzare ogni trattamento, anche al fine di verificare se i rischi che ne derivano siano o no elevati, e che questa analisi deve sempre essere svolta prima che il trattamento abbia inizio.
Anche per comprendere meglio in quali casi, e con quali modalità, debba essere svolta la DPIA, è consigliabile confrontarsi con un consulente esperto in materia. Contattaci per saperne di più e fissare con noi la tua valutazione del rischio.