La Valutazione d’Impatto Privacy (DPIA, Data Protection Impact Assessment) è obbligatoria quando un determinato tipo di trattamento dei dati, specialmente se prevede l’uso di nuove tecnologie, presenta un rischio elevato per i diritti e le libertà delle persone fisiche, tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento.
La DPIA deve essere effettuata dal titolare del trattamento prima di iniziare il trattamento stesso, in conformità con l’Articolo 35 del Regolamento UE n. 2016/679 e i considerando 90 e 93. Se è stato nominato, il parere del DPO (Data Protection Officer) deve essere richiesto.
Casi Specifici di Obbligatorietà
La Valutazione d’Impatto è specificamente richiesta nei seguenti casi:
- Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, inclusa la profilazione, sulla quale si fondano decisioni che hanno effetti giuridici o che incidono in modo analogo significativamente su dette persone fisiche.
- Il trattamento, su larga scala, di categorie particolari di dati personali (ai sensi dell’art. 9, par. 1, del Reg. UE n. 2016/679) o di dati relativi a condanne penali e a reati (ai sensi dell’art. 10 del Reg. UE n. 2016/679).
- Si ricorda che le categorie particolari di dati (ex dati sensibili) includono, tra gli altri, dati genetici, dati biometrici intesi a identificare univocamente una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale.
- La sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Elementi Obbligatori della DPIA
Una singola DPIA può esaminare anche una serie di trattamenti simili, ma in ogni caso deve contenere almeno i seguenti elementi:
- Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, includendo, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento.
- Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità.
- Una valutazione dei rischi per i diritti e le libertà degli interessati.
- Le misure previste per affrontare i rischi, che devono includere le garanzie, le misure di sicurezza e i meccanismi per assicurare la protezione dei dati personali e dimostrare la conformità al Regolamento, tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Si evidenzia che, anche se la DPIA può essere eseguita da soggetti esterni al titolare, quest’ultimo rimane in ogni caso responsabile dell’adempimento dell’obbligo.
Prova il nostro servizio – consulenza in materia di Privacy e GDPR