[vc_row css=”.vc_custom_1570624544050{padding: 7% !important;}”][vc_column][vc_column_text]
Cos’è e perché?
È una procedura prevista dall’articolo 35 del Regolamento UE/2016/679 (RGPD) che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogiein termini di natura, ambito, contesto, finalità e rischi.
La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni. In altri termini, la DPIA è una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali. Vista la sua utilità, il Gruppo Art. 29 suggerisce di valutarne l’impiego per tutti i trattamenti, e non solo nei casi in cui il Regolamento la prescrive come obbligatoria.
Quando è obbligatoria?
In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito:- trattamenti valutativi o di scoring, compresa la profilazione;- decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);- monitoraggio sistematico (es: videosorveglianza);- trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);- trattamenti di dati personali su larga scala;- combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);- dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);- utilizzi innovativi o applicazione di nuove soluzioni tecnologicheo organizzative (es: riconoscimento facciale, device IoT, ecc.);- trattamenti che, di per sé, potrebbero impedire agli interessatidi esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registratiin una centrale rischi per stabilire la concessione di un finanziamento).
La DPIA è necessaria in presenza di almeno due di questi criteri,ma – tenendo conto delle circostanze – il titolare può decideredi condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.
Quando non è obbligatoria?
Secondo le Linee guida del Gruppo Art. 29, la DPIA NON è necessaria per i trattamenti che:
– non presentano rischio elevato per diritti e libertà delle persone fisiche; – hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;
– sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del maggio 2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;
– sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;
– fanno riferimento a norme e regolamenti, Ue o di uno stato membro, per la cui definizione è stata condotta una DPIA.
[/vc_column_text][/vc_column][/vc_row]