Nel precedente articolo abbiamo introdotto la c.d. Valutazione di impatto, anche denominata DPIA (Data Protection Impact Assessment) o PIA (Privacy Impact Assessment), utilizzata per la valutazione del rischio del trattamento.

Esaminiamo oggi i casi in cui non è necessario eseguire una tale procedura.

Valutazione del rischio: quando non serve effettuare una DPIA

In generale non è necessario procedere ad una Valutazione d’impatto quando:

• un trattamento non è tale da presentare un rischio elevato per i diritti e le libertà fondamentali delle persone fisiche;
• un trattamento è già stato sottoposto a tale procedura;
• l’Autorità, in passato (prima del maggio 2018), ha già esaminato le procedure di trattamento;
• il trattamento in questione è incluso in un elenco di tipologie per le quali la Valutazione risulta facoltativa.

Valutazione del rischio: come si effettua una DPIA

La Valutazione di impatto si sviluppa nelle seguenti fasi:

• descrizione dei trattamenti e delle finalità degli stessi,
• valutazione della necessità e proporzionalità dei medesimi;
• valutazione del rischio che essi comportano;
• indicazione delle misure previste per affrontare tali rischi e dimostrare la conformità al Regolamento.

Esistono, nel contesto italiano ed europeo, precisi standard e criteri che le Autorità prescrivono al fine di stabilire se sia necessaria l’effettuazione della Valutazione e se essa possa essere considerata correttamente eseguita.

Dovranno infatti essere dettagliatamente descritti:

• i trattamenti, unitamente alla natura, al contesto e alle finalità degli stessi;
• le modalità di registrazione dei dati personali;
• le tempistiche di trattamento;
• le risorse fisiche, logiche e organizzative mediante le quali i trattamenti vengono operati;
• l’approvazione di codici di condotta;
• la necessità e proporzionalità dei trattamenti effettuati e le relative misure adottate;
• le informazioni e le modalità con le quali le misure adottate sono portate a conoscenza dei destinatari.

Quanto ai rischi relativi al trattamento, si considerano:

• la natura;
• la particolarità;
• la gravità;
• la probabilità;
• le fonti;
• i potenziali impatti;
• le minacce;
• le misure previste per la gestione di tali rischi.

La Valutazione di impatto termina e si definisce in un rapporto finale, che può (e dovrebbe) essere assai ricco di informazioni e indicazioni.

Valutazione del rischio: obiettivi e vantaggi

La breve disamina effettuata consente di comprendere come i principali obiettivi della Valutazione siano quelli, da un lato, di poterne comunicare i risultati alle parti interessate, così da “assicurarli” in merito alla protezione delle informazioni che li riguardano; dall’altro, di poter gestire, dal punto di vista aziendale, l’impatto privacy con più garanzie di protezione e una maggiore consapevolezza degli aspetti oggi determinanti in questa materia (privacy by design e privacy by default, accountability, trasparenza).

Avv. Andrea Broglia

Per maggiori informazioni:

• https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil (per l’effettuazione della DPIA)
• https://www.garanteprivacy.it/regolamentoue/DPIA