La Valutazione di Impatto sulla Protezione dei Dati – DPIA

(0)
Posted bySigear Posted in
Posted on Jan 01, 1970

Tra le novità introdotte dal Regolamento UE sulla Protezione dei Dati Personali GDPR 2016/679 assume particolare rilevanza la cosiddetta attività di Valutazione di impatto sulla protezione dei dati (DPIA).

Dal 25 maggio 2018, con la piena applicazione del regolamento, il titolare del trattamento dei dati dovrà svolgere una preventiva analisi e valutazione di tutti i trattamenti che possano comportare un rischio elevato potenzialmente lesivo dei diritti e delle libertà delle persone interessate.

Le linee guida emanate dal Working Party 29 (WP248) individuano criteri specifici per determinare i casi di elevato rischio di un trattamento per i quali sarà necessario effettuare la valutazione di impatto, fermo restando il consiglio di effettuare tale attività come buona prassi per tutti i tipi di trattamento di dati personali.

Alcuni dei principali criteri riportati dal WP29 (fonte: Autorità Garante – http://www.garanteprivacy.it/DPIA):

  • trattamenti valutativi o di scoring, compresa la profilazione;
  • decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
  • monitoraggio sistematico (es: videosorveglianza);
  • trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
  • trattamenti di dati personali su larga scala;
  • combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
  • dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
  • utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
  • trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto

Il titolare del trattamento dovrà attestare l’adozione delle misure idonee a garantire il rispetto dei diritti e delle libertà delle persone interessate.

Per ulteriori approfondimenti si rimanda al sito dell’Autorità Garante.