Valutare i rischi privacy dei trattamenti
La valutazione d’impatto sulla protezione dei dati, o DPIA, serve a stimare in anticipo i rischi che un trattamento può comportare per i diritti e le libertà delle persone fisiche. La valutazione va effettuata prima dell’avvio del trattamento quando, per natura, oggetto, contesto, finalità o uso di nuove tecnologie, l’attività può presentare un rischio elevato.
La DPIA riguarda il rischio complessivo per gli interessati, dalla sicurezza informatica alla perdita di controllo sui dati, fino a possibili discriminazioni, esclusioni, danni economici, danni reputazionali o limitazioni nell’esercizio dei diritti. Per questo va collegata alla progettazione del trattamento, alla scelta degli strumenti e alle misure organizzative adottate.
Quando serve la DPIA
Il GDPR richiede la valutazione d’impatto nei casi di rischio elevato. Il Garante ha individuato specifiche tipologie di trattamento soggette a DPIA, tra cui trattamenti valutativi o di scoring su larga scala, profilazione, attività predittive, monitoraggio sistematico, trattamenti su larga scala di categorie particolari di dati, uso di dati biometrici o genetici, videosorveglianza sistematica e combinazione di più banche dati.
La valutazione va quindi svolta prima di introdurre nuovi sistemi di profilazione, strumenti HR avanzati, piattaforme di marketing automatizzato, soluzioni di intelligenza artificiale, sistemi di controllo accessi, videosorveglianza evoluta o tecnologie che modificano il livello di rischio per gli interessati.
Descrizione del trattamento
La DPIA deve descrivere in modo chiaro il trattamento previsto, indicando finalità, categorie di dati personali, categorie di interessati, strumenti utilizzati, soggetti autorizzati, destinatari, fornitori coinvolti, tempi di conservazione, flussi di dati ed eventuali trasferimenti verso Paesi extra UE.
Necessità, proporzionalità e alternative meno invasive
La valutazione deve spiegare perché il trattamento è necessario rispetto alle finalità perseguite e perché le modalità scelte sono proporzionate. In questa fase vanno considerate soluzioni meno invasive, come riduzione dei dati raccolti, pseudonimizzazione, anonimizzazione, limitazione degli accessi, riduzione dei tempi di conservazione o esclusione di dati eccedenti.
Analisi dei rischi e misure di mitigazione
La DPIA deve individuare i rischi per i diritti e le libertà degli interessati, valutandone probabilità e gravità. L’analisi deve includere accessi non autorizzati, perdita o alterazione dei dati, diffusione indebita, uso improprio delle informazioni, errori nei sistemi automatizzati, discriminazioni, profilazioni scorrette e difficoltà nell’esercizio dei diritti.
Una volta individuati i rischi, il titolare deve indicare le misure tecniche e organizzative previste per ridurli. Possono rientrare in questa fase cifratura, pseudonimizzazione, autenticazione forte, segregazione dei ruoli, logging, backup, controlli sugli accessi, formazione del personale, istruzioni interne, verifica dei fornitori e procedure di data breach.
Consultazione preventiva del Garante
Se, dopo l’applicazione delle misure previste, il trattamento presenta ancora un rischio elevato, il titolare deve consultare il Garante per la protezione dei dati personali prima di procedere. La consultazione preventiva riguarda i casi in cui le misure individuate non riducono il rischio residuale a un livello accettabile.
Aggiornamento della DPIA
La valutazione d’impatto va conservata e aggiornata quando cambiano finalità, tecnologie, fornitori, categorie di dati, scala del trattamento, misure di sicurezza o rischi per gli interessati. La revisione periodica consente di mantenere la documentazione coerente con i trattamenti effettivi e con il principio di accountability GDPR.