Nel precedente articolo abbiamo introdotto la c.d. Valutazione di impatto, anche denominata DPIA (Data Protection Impact Assessment) o PIA (Privacy Impact Assessment), utilizzata per la valutazione del rischio del trattamento.

Esaminiamo oggi i casi in cui non è necessario eseguire una tale procedura.

Valutazione del rischio: quando non serve effettuare una DPIA

In generale non è necessario procedere ad una Valutazione d’impatto quando:

  • un trattamento non è tale da presentare un rischio elevato per i diritti e le libertà fondamentali delle persone fisiche;
  • un trattamento è già stato sottoposto a tale procedura;
  • l’Autorità, in passato (prima del maggio 2018), ha già esaminato le procedure di trattamento;
  • il trattamento in questione è incluso in un elenco di tipologie per le quali la Valutazione risulta facoltativa.

Valutazione del rischio: come si effettua una DPIA

La Valutazione di impatto si sviluppa nelle seguenti fasi:

  • descrizione dei trattamenti e delle finalità degli stessi,
  • valutazione della necessità e proporzionalità dei medesimi;
  • valutazione del rischio che essi comportano;
  • indicazione delle misure previste per affrontare tali rischi e dimostrare la conformità al Regolamento.

Esistono, nel contesto italiano ed europeo, precisi standard e criteri che le Autorità prescrivono al fine di stabilire se sia necessaria l’effettuazione della Valutazione e se essa possa essere considerata correttamente eseguita.

Dovranno infatti essere dettagliatamente descritti:

  • i trattamenti, unitamente alla natura, al contesto e alle finalità degli stessi;
  • le modalità di registrazione dei dati personali;
  • le tempistiche di trattamento;
  • le risorse fisiche, logiche e organizzative mediante le quali i trattamenti vengono operati;
  • l’approvazione di codici di condotta;
  • la necessità e proporzionalità dei trattamenti effettuati e le relative misure adottate;
  • le informazioni e le modalità con le quali le misure adottate sono portate a conoscenza dei destinatari.

Quanto ai rischi relativi al trattamento, si considerano:

  • la natura;
  • la particolarità;
  • la gravità;
  • la probabilità;
  • le fonti;
  • i potenziali impatti;
  • le minacce;
  • le misure previste per la gestione di tali rischi.

La Valutazione di impatto termina e si definisce in un rapporto finale, che può (e dovrebbe) essere assai ricco di informazioni e indicazioni.

Valutazione del rischio: obiettivi e vantaggi

La breve disamina effettuata consente di comprendere come i principali obiettivi della Valutazione siano quelli, da un lato, di poterne comunicare i risultati alle parti interessate, così da “assicurarli” in merito alla protezione delle informazioni che li riguardano; dall’altro, di poter gestire, dal punto di vista aziendale, l’impatto privacy con più garanzie di protezione e una maggiore consapevolezza degli aspetti oggi determinanti in questa materia (privacy by design e privacy by defaultaccountability, trasparenza).

Avv. Andrea Broglia

 

Per maggiori informazioni: