Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, il regolamento 2016/679 – GDPR obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l’autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Cos’è la DPIA – Valutazione d’impatto sulla protezione dei dati

La DPIA è uno strumento importante in termini di responsabilizzazione (accountability), in quanto aiuta il titolare del trattamentonon solo a rispettare le prescrizioni del GDPR, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni.
In altri termini la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali.
Vista la sua utilità, l’European Data Protection Board (EDPB) suggerisce di valutarne l’impiego per tutti i trattamenti, e non solo per i casi in cui il GDPR lo prescrive come obbligatorio.

Quando la DPIA è obbligatoria

La valutazione di impatto sulla protezione dei dati (DPIA) è ovvligatoria in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Alcuni criteri specifici a questo proposito sono:

  1. Trattamenti valutativi di scoring, inclusa la profilazione;
  2. Decisioni automatizzate che producono significativi effetti giuridici (ad esempio: assunzioni, concessione di mutui, stipula di assicurazioni);
  3. Monitoraggio sistematico (ad esempio: videosorveglianza)
  4. Trattamento di dati sensibili, giudiziari o di natura estremamente personale (quali, ad esempio, le informazioni sulle opinioni politiche, sindacali e religiose);
  5. Trattamento di dati personali su larga scala;
  6. Dati relativi a soggetti vulnerabili (quali minori, anziani, richiedenti asilo, soggetti con patologie psichiatriche)
  7. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (ad esempio, riconoscimento facciale, dispositivi IoT – Internet of Things);
  8. Trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (ad esempio: screening dei clienti di una banca attraverso dati registrati in una centrale rischi per stabilire la concessione di un finanziamento);
  9. Combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziali (come avviene, ad esempio, con i Big Data, termine col quale si indica una raccolta di dati informativi così estesa in termini di volume, velocità e varietà da richiedere tecnologie e metodi analitici specifici per l’estrazione di valore o conoscenza).

La DPIA è necessaria in presenza di almeno due di questi criteri ma, tenendo conto delle circostanze, il titolare del trattamento può decidere di condurre una valutazione di impatto anche se ricorre uno solo dei criteri di cui sopra.

Fonte: Garante per la protezione dei dati personali