Che cosa si intende per valutazione di impatto? Quando va effettuata? Quali informazioni deve contenere? In quali casi va aggiornata? Ecco tutte le indicazioni utili per una corretta gestione.
Quando effettuarla
Con l’avvento del GDPR, i titolari del trattamento devono obbligatoriamente effettuare una valutazione di impatto sulla protezione dei dati prima di procedere con il trattamento se questo presenta rischi elevati per quanto riguarda i diritti e le libertà dei diretti interessati.
La valutazione di impatto (cd. DPIA) è quindi uno degli adempimenti fondamentali della novella ed è perfettamente coerente con il principio cardine della cd. Accountability del titolare, che viene responsabilizzato in tema di conseguenze sugli interessati dei trattamenti che intende porre in essere.
L’art. 35 GDPR precisa che la valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Come effettuarla
La valutazione di impatto deve almeno contenere:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
In breve, trattasi di una autoanalisi su sé stessi per capire come vengono effettuati i trattamenti, come vengono conservati e protetti i dati e quali potrebbero essere le conseguenze per l’interessato nel momento in cui ci fosse una perdita o un accesso illegittimo degli stessi da parte di terzi.
Quando aggiornarla
Il registro dei trattamenti e la valutazione di impatto non sono adempimenti statici, bensì dinamici, perché necessitano di essere rivisti periodicamente. Si ritiene opportuno procedere al loro aggiornamento almeno una volta l’anno, in maniera analoga a quanto accade in materia di antiriciclaggio, a prescindere dall’effettivo mutamento di circostanze e diritti riconosciuti agli interessati.
Team Privacy CGN