01 Giu DPIA: come mettere in pratica la compliance al GDPR
Uno dei punti fondamentali nella nuova normativa GDPR è sicuramente la DPIA. Tuttavia vi sono ancora molte incertezze sulla vera natura di questo istituto e sul suo svolgimento
Da quando è entrato in vigore il GDPR – Regolamento sulla Privacy, nel mondo delle Imprese e dei Professionisti è calato un alone di incertezza; il materiale riguardante il regolamento è veramente molto vasto e complesso e sono emersi molti pareri discordanti sulla messa in sicurezza dei dati.
Tuttavia, il carico di lavoro per attuare la protezione dei dati può essere gestito in maniera più semplice suddividendo il lavoro in fasi; tra queste, la fase preliminare è proprio la DPIA – Data Protection Impact Assestment, ovvero un’attività interna che porta a una valutazione complessiva del livello di rischio proveniente dal trattamento dei dati e alle relative contromisure per azzerare o comunque mitigare tale rischio. Potrebbe essere intesa, sostanzialmente, come una fotografia di come una determinata attività influisca sulla privacy degli interessati.
Per comprendere quanto sia importante per la propria attività e quando emerga la necessità della redazione di una DPIA, i Garanti Europei hanno elaborato una serie di esempi di situazioni in cui la privacy potrebbe essere messa a rischi dall’attività di trattamento dei dati:
- Attività di sistematiche ed estensive di profilazione che possano avere effetti significativi;
- trattamento di dati in larga scala riguardanti categorie speciali o criminali;
- trattamento di dati in larga scala riguardanti informazioni strategiche (es. informazioni di geo localizzazione o finanziarie)
- raccolta di informazioni a cui l’interessato non può in linea di massima sottrarsi (es. videosorveglianza in aree di passaggio accessibili al pubblico);
- applicazione di schemi predittivi sul comportamento interessato;
- trattamento di dati biometrici, genetici o riguardanti la salute dell’interessato;
- trattamento svolto nei riguardi di minori, lavoratori e altri soggetti vulnerabili;
- trattamento avente ad oggetto di dati sensibili o comunque strategici (es. informazioni di geolocalizzazione o finanziarie) o di elevati volumi di dati (“larga scala”) o combinazioni di informazioni diverse;
- trattamento di dati che possano mettere a rischio la salute fisica o psicologica di un individuo in caso di fuga di dati (c.d. Data Breach).
Emerge quindi un quadro chiaro di quanto importante sia questa attività nel processo di messa in sicurezza dei dati.
Nel caso emergano delle criticità e quindi vi siano dei rischi per la privacy degli interessati, il GDPR non dà indicazioni specifiche su come comportarsi e su quali misure adottare: si rifà infatti al principio dell’accountability, dando quindi al Titolare del Trattamento piena responsabilità sulle scelte da compiere per la messa in sicurezza dei dati. Queste scelte verranno pubblicate proprio nella DPIA, che consterà quindi di una parte “analitica”, in cui verranno messe in luce le finalità di raccolta e trattamento, il tipo di dati raccolti e il livello di sicurezza di questi ultimi, e di una parte “prescrittiva”, in cui verranno raccomandate le operazioni da svolgere per la messa in sicurezza qualora dovessero venire alla luce dei rischi.
È importante sottolineare come la redazione della DPIA non sia un’operazione da svolgere una tantum: essendo strettamente legato all’evoluzione tecnologica e alla crescita dell’attività, questo processo deve essere continuativo; il Titolare del Trattamento, di concerto col DPO (se nominato), dovrà eseguire una costante operazione di monitoraggio e revisione e, se dovesse rilevare misure non sufficienti, dovrà consultare l’Autorità Garante per ottenere un parere che sarà vincolante.