DPIA significato, procedure, caratteristiche: cos’è il Data Protection Impact Agreement

Di /

Che cos’è il Data Protection Impact Agreement, o DPIA: significato della sigla

DPIA: SIGNIFICATO DELLA SIGLA E PROCEDURE PER IL DATA PROTECTION IMPACT AGREEMENT – La valutazione di impatto del trattamento detta D.P.I.A (Data Protection Impact Assessment) serve a descrivere un trattamento, valutarne la necessità e la proporzionalità e a gestire gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento.

Grazie a questo metodo, il titolare del trattamento evita di richiedere all’garante un’autorizzazione preventiva prima di svolgere un nuovo trattamento. Questo strumento diventa il metodo principale con cui il titolare svolge l’analisi dei rischi e la effettua prima di iniziare un nuovo trattamento valutandone le conseguenze per i dati personali ed i diritti degli interessati. Nell’esecuzione il responsabile del trattamento deve assistere il titolare fornendogli ogni informazione necessaria.

DPIA obbligatoria? Ecco quando è necessaria

Solitamente una D.P.I.A. è necessaria quando i trattamenti interessati sono:

  • trattamenti valutativi (es. scoring bancario o finanziario);
  • trattamenti basati su decisioni automatizzate (es. profilazione online);
  • monitoraggio sistematico (es. localizzazione);
  • trattamenti di dati ex art. 9 GDPR;
  • trattamento di dati relativi a soggetti vulnerabili (es. minori o migranti);
  • trattamenti su larga scala (es. videosorveglianza);
  • confronto di basi di dati (es. machine learning);
  • trattamenti effettuati con nuove tecnologie.

Per individuare quando una DPIA è obbligatoria, ci viene in soccorso l’articolo 35 del GDPR, ovvero quando:

  • determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale valutazione si fondano decisioni che hanno effetti giuridici sugli interessati (es. lo screening dei clienti di una banca per la lotta alle frodi o al riciclaggio);
  • riguarda dati sensibili o giudiziari su larga scala;
  • riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

DPIA significato e sintesi del provvedimento del Garante

Per approfondire si può consultare il provvedimento del Garante (11 ottobre 2018): Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto.

Sinteticamente l’elenco prevede tali ipotesi per i trattamenti:

  1. Valutativi o di scoring effettuati su larga scala, profilazione, attività predittive;
  2. Automatizzati finalizzati ad assumere decisioni che producono effetti giuridici
  3. Che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati
  4. Su larga scala di dati aventi carattere estremamente personale
  5. Effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
  6. Non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  7. Effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale)
  8. Che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
  9. Di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. pagamenti effettuati tramite tecnologia mobile);
  10. Di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
  11. Sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
  12. Sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Quali sono gli elementi chiave di una DPIA?

La valutazione di impatto deve prendere in considerazione almeno:

  • la descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso la base giuridica utilizzata dal titolare;
  • la valutazione della necessità e proporzionalità del trattamento in relazione alla finalità;
  • la valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Procedura per la DPIA

Di seguito si indicano le fasi generalmente necessarie per completare una DPIA:

  1. Raccolta informazioni: dal DPO e dai vari soggetti coinvolti
  2. Descrizione dei trattamenti: descrizione delle finalità, delle categorie di persone e dati coinvolti, delle basi giuridiche e valutazione della proporzionalità dei trattamenti.
  3. Data Flow: Descrizione del flusso dei dati.
  4. Revisione dei principi e dei diritti: principi del GDPR e diritti dell’interessato devono sempre essere considerati per valutare se e come i trattamenti incidono su di essi.
  5. Identificazione dei rischi: Valutazione delle misure per minimizzare o eliminare i rischi.
  6. Realizzazione del rapporto

Quando non si riescono a stabilire le misure per mitigare i rischi occorre rivolgersi preventivamente all’Autorità di controllo.

  1. Implementazione: Realizzazione dei suggerimenti emersi dal rapporto.
  2. Pubblicazione: A volte si può ritenere necessario pubblicare il risultato ai fini di trasprenza

PIA tool: il software per la valutazione d’impatto

Il CNIL (autorità di controllo francese) ha messo a disposizione un software open source per la valutazione di impatto sia nella versione standalone che in quella online. Anche il Garante italiano segnala questo software come tool per realizzare la valutazione.

La procedura di valutazione tramite il software prevede varie fasi:

  • Contesto dei trattamenti;
  • Esposizione ai relativi rischi;
  • Misure di sicurezza adottate;
  • Mappatura globale dei rischi;
  • Mitigazione dei rischi.

Come possiamo aiutare la tua azienda

Il nostro compito è quello di aiutarti e supportarti rendendo i compiti relativi alla redazione della DPIA il più semplice possibile. In questo modo, per la tua azienda si apriranno nuove opportunità e vogliamo essere al tuo fianco in questo percorso. Hai bisogno di ulteriori informazioni a riguardo? Contattaci a info@c2compliance.it

Cosa ne pensi? Dicci la tua!

Instagram Linkedin
Torna in alto