I 5 elementi del consenso informato Carlo Pisaniello - 17/12/24  |  Addio multe agli over50: un atto dovuto United Lawyers for Freedom - ALI Avvocati Liberi - 15/12/24  |  La scienza smascherata United Lawyers for Freedom - ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom - ALI Avvocati Liberi - 26/03/23  |  

Privacy: cos'è e come si utilizza la DPIA

Di fondamentale importanza in ambito privacy l'utilizzo dell'analisi della gestione del rischio. Cos'è e chi è tenuto a fare la valutazione di impatto (Dpia)


Dott. Alessandro Pagliuca - La valutazione di impatto rappresenta una delle principali novità del GDPR e uno dei principali esempi di responsabilizzazione (anche detta Accountability) per i Titolari del trattamento per valutare il rischio connesso ai trattamenti di dati personali. Per questo è importante chiarire cos'è una valutazione di impatto, quando debba essere condotta – anche alla luce del provvedimento del Garante per la protezione dei dati personali del 10 ottobre 2018 – e da chi, quali strumenti possano eventualmente essere utilizzati e in quali casi occorra consultare preventivamente l'autorità di controllo.

La valutazione di impatto

[Torna su]

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà degli interessati (i casi possono essere molti e molto diversi tra loro - si veda più oltre - ma comprendono il monitoraggio sistematico dei loro comportamenti, o per il gran numero di interessati di cui sono magari trattati dati particolari o giudiziari, o anche per una combinazione di questi e altri fattori), il Titolare del trattamento deve svolgere una valutazione di impatto prima di darvi inizio, consultando l'autorità di controllo se le misure tecniche e organizzative individuate per mitigare l'impatto del trattamento non sono ritenute sufficienti, perché possono
residuare rischi elevati per i diritti e le libertà degli interessati.

Chi è tenuto a fare la valutazione d'impatto

[Torna su]
Il Titolare del trattamento, che potrà avvalersi della collaborazione di vari soggetti all'interno della sua organizzazione, in base alle aree maggiormente coinvolte e alle caratteristiche del trattamento, o all'esterno.
Nel caso in cui vi sia un Responsabile della protezione dei dati (DPO) il Titolare del trattamento deve consultarsi con il DPO, il quale su richiesta, fornisce supporto nella valutazione e deve vigilare sulla conduzione della valutazione.

Si badi però che non è compito del DPO condurre la valutazione, ma solo fornire consulenza.
In particolare, il Titolare è tenuto a confrontarsi con il DPO almeno sui seguenti punti:
- necessità della valutazione d'impatto;
- metodologia;
- individuazione del soggetto incaricato alla valutazione (se interno o esterno);
- misure tecniche e organizzative per ridurre i rischi del trattamento;
- valutazione sulla modalità di conduzione della DPIA.

Valutazione svolta da terzi

[Torna su]
In alcuni casi, la valutazione potrà essere svolta da terzi, ad esempio i produttori di prodotti di tecnologia (per valutare l'impatto del proprio prodotto e rendere disponibile tale valutazione alla propria clientela quando l'uso del prodotto sia suscettibile di un utilizzo piuttosto uniforme). Tuttavia, si tratterà solo di una facilitazione offerta ai Titolari del trattamento, i quali restano comunque tenuti a svolgere la propria valutazione d'impatto in relazione allo specifico utilizzo che sarà di quel prodotto; nel condurre tale analisi i Titolari del trattamento potranno però avvalersi delle informazioni fornite da una valutazione analoga preparata dal fornitore del prodotto.
Dott. Alessandro Pagliuca
Esperto in Diritto della Privacy
alessandropagliuca12@gmail.com
Data: 07/04/2020 10:30:00
Autore: Alessandro Pagliuca