Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati personali

Legame tra accountability e DPIA

Il precedente articolo era incentrato sul concetto di accountability. In questo, parleremo della valutazione d’impatto sulla protezione dei dati personali. Il motivo per il quale vedremo oggi questa tematica, è che è strettamente legata al principio di accountability. Infatti, la valutazione d’impatto, è un documento che dimostra se il titolare è stato responsabile nella progettazione del trattamento. Questo tema è conosciuto anche con il nome di DPIA (data protection impact assessment), ed è lo strumento di prevenzione più potente previsto dal GDPR che si basa sulla valutazione dei rischi.

Ma quali rischi?

I rischi sono quelli ai quali possono andare incontro i dati personali nel momento in cui vengono trattati. Quindi, il fatto che il titolare del trattamento debba valutare questi rischi, gli permette di offrire una maggiore tutela ai dati dell’interessato.

Documentazione della valutazione d’impatto

Questa valutazione deve essere sempre documentata nel Registro dei trattamenti. In questo registro devono essere inserite anche le misure di sicurezza. Ciò consente di responsabilizzare il titolare in quanto prende consapevolezza di quello che sta facendo. Nel caso in cui venga poi fatta una ispezione, è probabile che l’ispettore chieda che gli venga fornito il Registro dei trattamenti.

Quando abbiamo l’obbligo di fare la DPIA?

Per i trattamenti di dati personali “normali”, non vi è questo obbligo. Invece, per i trattamenti di dati personali che il Codice Privacy definisce “sensibili” è previsto l’obbligo di fare la valutazione d’impatto.

Ma perché?

Perché in questo caso il trattamento dei dati personali determina un rischio elevato per la tutela dei dati. Purtroppo il concetto di “rischio elevato” non è definito dal GDPR.

Qual’è il momento giusto per redigere la valutazione d’impatto?

La DPIA deve essere fatta prima che il trattamento dei dati abbia luogo. Sono tre le motivazioni che ci portano a dire questo:

  1. capire se il trattamento che vogliamo porre in essere sia o no lecito.
  2. individuare quali sono i rischi che eventualmente il trattamento presenta.
  3. comprendere come mitigare i rischi.

 

Nel prossimo articolo parleremo dei 9 criteri in base ai quali è probabile che ci troveremo di fronte ad un rischio elevato che giustifichi l’obbligo di redigere una DPIA.

 

Sonia Lavoratti

    COME CI HAI CONOSCIUTO? (scegli)
   

Se ti sono stato di aiuto, ti chiedo di condividere questo articolo.
Follow by Email
Facebook
Facebook
Google+
https://www.nardoniweb.com/valutazione-dimpatto-sulla-protezione-dei-dati/
Pinterest
Pinterest
LinkedIn
Instagram
Tags: , , , , , , , , , , ,