L’art. 35 del G.D.P.R. introduce per la prima volta l’istituto della valutazione d’impatto, in precedenza non previsto dalla Direttiva 95/46/CE dal nostro Codice per la protezione dei dati personali (D.lgs. 196/2003) che per trattamenti che presentano rischi specifici disciplina l’obbligo di verifica preliminare davanti all'Autorità Garante.
In estrema sintesi la DPIA (Data protection impact Assessment) consiste in una "valutazione preliminare", che agli effetti di legge risulterà fatta dallo stesso titolare, degli impatti cui andrebbe incontro un trattamento in caso di violazione delle misure di protezione dei dati.
Effettuare una corretta DPIA consente ai Titolari del trattamento di poter identificare le misure più appropriate per ridurre e minimizzare i rischi in termini di impatto con gli interessati e di adottare, tenuto conto dello stato dell’arte, ogni misura tecnica, giuridica ed organizzativa.
Viceversa il Titolare del trattamento, laddove dovesse ritenere che il rischio non possa essere ragionevolmente attenuato in termini di tecnologie disponibili e di costi di attuazione e dovesse risultare dalla valutazione d’impatto che il trattamento (in mancanza delle garanzie, delle misure di sicurezza e dei meccanismi per attenuare il rischio) possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, dovrà ricorrere alla consultazione preventiva dell’autorità di controllo.

Operazioni di trattamento definite “high risk”, potrebbero comunque comportare rischi altrettanto elevati: resta compito del Titolare del trattamento, utilizzare caso per caso un “risk-based approach”. per individuare, nello specifico, l’origine, la natura, la probabilità e la gravità del rischio, l’ambito di applicazione, il contesto e le finalità del trattamento stesso in quanto più è elevata la rischiosità del dato, più alte sono le conseguenze in termini d’impatto per gli interessati.
Una DPIA dovrà, quindi, tenere conto sia del grado di rischio che il trattamento possa presentare per i diritti e le libertà delle persone fisiche, sia del grado di innovatività della tecnologia con cui viene effettuato il trattamento stesso (tecnologie poco conosciute potrebbero infatti comportare rischi non ancora valutati e impatti potenziali elevati sugli interessati).
Il Titolare dovrà avere cognizione di causa, se si tratti di un dato più o meno rischioso (es. un dato “sensibile” in cui il rischio è già intrinseco), se questo sia o meno diffuso pubblicamente, se sia trattato unitamente ad altri dati (si pensi il caso della profilazione) o se sia comunicato ad un vasto numero di persone.

Il documento del Gruppo di lavoro definisce non solo un elenco di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazione d’impatto debba ritenersi obbligatoria (quali, il trattamento di dati genetici o di salute dei pazienti in un ospedale, l’uso di un sistema di telecamere per monitorare il comportamento di guida in autostrada o, in materia di controllo a distanza dei lavoratori, le operazioni di monitoraggio effettuate dalla società sulle attività dei propri dipendenti inclusa la loro postazione di lavoro) ma individua criteri utili da seguire per tutte quelle operazioni di trattamento che richiedono una DPIA (per esempio l’assegnazione di un punteggio ad aspetti quali la situazione economica o la salute, il numero degli interessati, il volume di dati e l’eventuale trasferimento di dati al di fuori dell’Unione Europea etc.)

L’art. 35 del GDPR prevede inoltre ipotesi di esonero dall'effettuazione della valutazione d’impatto: una DPIA non è obbligatoria
- per "tutte quelle operazioni in cui il trattamento non presenti un rischio elevato per l’interessato",;
- l'interessato sia già stato autorizzato, trovi nel diritto dell’Unione o dello Stato membro una base giuridica;
- quando, per la natura o finalità del trattamento, questo sia molto simile ad un altro trattamento per cui la DPIA è già stata effettuata;
- un trattamento di dati personali di pazienti o clienti effettuato da un medico individuale, da un altro professionista del settore sanitario o da un avvocato;
- il caso di una rivista online che utilizza una mailing list per inviare ai propri abbonati un sommario giornaliero;

In conclusione, sebbene l’obbligo di effettuare una DPIA si applica alle operazioni di trattamento che soddisfano i criteri di cui all’ art 35 e, avviate dopo che il GPDR diventa applicabile, il Gruppo di lavoro raccomanda ed incoraggia vivamente di effettuare le DPIA per operazioni di trattamento già in corso prima del 25 Maggio 2018.

Potete contattarci per richiedere informazioni e preventivi personalizzati contattateci cliccando qui.