Valutazione di Impatto per la Privacy: Guida Completa
Il Regolamento Europeo GDPR ha introdotto alcune novità riguardo la valutazione di impatto per la privacy (DPIA). Vediamo in dettaglio cos'è e quando è obbligatoria con le nuove regole.
Cos'è la valutazione di impatto per la privacy
La valutazione di impatto per la privacy è l'analisi e la mappatura interna dei dati che viene svolta per identificare potenziali rischi connessi a specifiche operazioni compiute sui dati personali particolarmente delicate. Questa valutazione consente di determinare le misure idonee a minimizzare i rischi in questi casi. Ad esempio, se una società vuole introdurre un nuovo tipo di tracciamento automatizzato di dati dovrà effettuare la valutazione e introdurre sistemi di controllo e di cifratura che garantiscano la sicurezza dei dati personali.
Il Regolamento GDPR prevede delle importanti sanzioni economiche in caso di violazioni relative alla valutazione d’impatto. Queste sanzioni possono arrivare fino a fino a €10 milioni oppure fino al 2% del fatturato totale annuo mondiale. Per questo motivo può essere utile fare in ogni caso una valutazione di impatto per adottare tutte le misure di sicurezza adeguate al trattamento dei dati personali.
Quando è obbligatoria la DPIA
La valutazione di impatto è obbligatoria solo per specifici trattamenti che possono comportare rischi elevati per i diritti e le libertà fondamentali delle persone fisiche. La normativa GDPR ha previsto alcune linee guida pratiche per chiarire quest'obbligo. In particolare, la DPIA è obbligatoria in presenza di almeno due delle seguenti condizioni:
- trattamenti valutativi o di scoring degli utenti, compresa la profilazione
- decisioni automatizzate che producono significativi effetti giuridici (es. assunzioni, concessione di prestiti, stipula di assicurazioni)
- monitoraggio sistematico (es. videosorveglianza)
- trattamento di dati sensibili, giudiziari o di natura estremamente personale (es informazioni sulle opinioni politiche)
- trattamenti di dati personali su larga scala (es. ampia portata geografica, alto numero di soggetti e volume di dati con durata persistente)
- combinazione o raffronto di insiemi di dati derivanti da almeno due trattamenti effettuati per diverse finalità e/o da titolari diversi, senza consenso (es. combinazione di Big Data)
- dati relativi a soggetti vulnerabili (es. minori o soggetti con patologie psichiatriche)
- utilizzo o applicazione di nuove soluzioni tecnologiche/organizzative (es. riconoscimento facciale)
- trattamenti che potrebbero impedire di esercitare un diritto o di avvalersi di un servizio/contratto (es. screening dei clienti di una banca prima di concedere un finanziamento)
Ecco alcuni esempi tipici di trattamento di dati personali che comportano l'obbligo di una valutazione di impatto privacy:
- la banca che tratta in modo automatizzato i dati sui rischi finanziari dei clienti per valutare il diritto a ottenere un prestito (punto 2 e 9)
- il datore di lavoro che sostituisce il commercialista con un nuovo programma gestionale per gestire le buste paga dei dipendenti e introduce un processo automatizzato (punto 4 e 8)
La valutazione di impatto, invece, non è obbligatoria quando i trattamenti:
- non presentano un rischio elevato per i diritti e libertà delle persone fisiche
- hanno contesto, finalità, natura e ambito simili a quelli di un trattamento su cui è già stata fatta una DPIA
- sono già stati sottoposti a verifica da un'Autorità di controllo prima dell'entrata in vigore della GDPR e non ci sono state modifiche alle condizioni (es. finalità)
- fanno riferimento a norme o regolamenti UE o di uno Stato membro per la cui definizione è stata condotta una DPIA
Un esempio tipico di trattamento di dati personali che non comporta l'obbligo è quello effettuato dal titolare del sito web che analizza le abitudini di acquisto degli utenti per ottimizzare le proprie campagne marketing. In questo caso, la DPIA non è obbligatoria in quanto non ci sono rischi elevati per i diritti e le libertà fondamentali né ci sono le condizioni stabilite dalle linee guida.
Come effettuare la valutazione di impatto privacy
La DPIA deve essere effettuata prima dell’inizio del trattamento e va riesaminata ogni volta che ci sono delle modifiche. È responsabilità del titolare del trattamento assicurarsi che la DPIA sia effettuata. Può essere effettuata anche da un soggetto diverso dal titolare (es. dal responsabile del trattamento o dal rappresentante del titolare). In ogni caso, il titolare rimane responsabile se viene effettuata da soggetti terzi.
Le linee guida del GDPR non prevedono una procedura standard per effettuare la valutazione di impatto. Il modo migliore per iniziare è partire dalla creazione del registro dei trattamenti che garantisce una visione chiara dei trattamenti effettuati. Inoltre, è consigliato di seguire alcune linee guida:
- descrivere i trattamenti previsti e le finalità del trattamento: stabilire natura, ambito di applicazione, contesto e finalità dei trattamenti realizzati controllando come vengono registrati e gestiti i dati personali
- valutare che i trattamenti effettuati siano giustificati da una reale necessità e che non vengano trattati per finalità superflue
- verificare il rispetto del principio di proporzionalità: l’interesse del titolare al trattamento deve prevalere su quello dell’interessato
- controllare che siano state determinate misure idonee per affrontare i rischi e dimostrare la conformità alla normativa
- valutare i rischi per i diritti e le libertà degli interessati e verificare che siano gestiti adeguatamente. Ad esempio, valutando la protezione contro la potenziale dispersione o furto di informazioni rilevanti
L'autorità francese per la protezione dei dati ha fornito un software open source multi-lingua (anche in italiano) di aiuto alla redazione di una valutazione di impatto privacy a norma. Il software è stato promosso anche dal Garante della privacy italiano, è gratuito e liberamente scaricabile cliccando qui. Il software offre un percorso guidato alla realizzazione della DPIA, secondo le linee guida stabilite dal Regolamento GDPR.
Come gestire gli adempimenti privacy con LexDo.it
L’adeguamento alle nuove regole privacy richiede un’attenta valutazione dell’attività dell’impresa. Con LexDo.it puoi ricevere un servizio completo per gestire correttamente e in modo semplice gli adempimenti privacy della tua attività. Potrai ottenere una consulenza GDPR dedicata di un avvocato esperto con uno dei nostri piani completi a partire da €99 + IVA. Il professionista valuterà quali adempimenti e documenti si applicano al tuo caso specifico, consigliandoti come procedere.
Potrai poi creare i documenti privacy di cui hai bisogno, inclusi nei nostri piani completi. Trovi qui di seguito una lista dei documenti che puoi creare:
- Privacy Policy: per informare i propri clienti sull'uso che verrà fatto delle loro informazioni personali
- Privacy Policy di un Sito Web o di un’App: per informare gli utenti di un sito web o di un app sull’uso che verrà fatto delle loro informazioni personali
- Cookie Policy: per informare i visitatori del tuo sito dei cookie che salverai sul loro browser
- Registro dei Trattamenti dei Dati Personali: per raccogliere tutte le informazioni relative alla gestione dei dati personali trattati
Inoltre, il servizio include 1 anno di supporto legale 100% online per creare anche gli altri documenti legali necessari per le tue esigenze (es. contratti d’opera o servizio e termini e condizioni per un sito web) e per richiedere consulenze su ogni tema legale. Potrai descrivere la tua situazione ad un professionista esperto che ti guiderà passo dopo passo nel tuo caso specifico.
Per parlare con il professionista esperto, puoi iniziare dalla consulenza sulla privacy dedicata.
Registro dei Trattamenti dei Dati Personali (GDPR)
Per raccogliere tutte le informazioni relative alla gestione dei dati personali trattati
Hai ancora domande? Richiedi una consulenza per parlare con un professionista o contatta il supporto in chat.