DPIA — Valutazione d'Impatto sulla Protezione dei Dati
Un processo di analisi preventiva del rischio che il titolare deve svolgere prima di avviare trattamenti che presentano rischi elevati per i diritti degli interessati.
Definizione
La DPIA (Data Protection Impact Assessment), in italiano Valutazione d'Impatto sulla Protezione dei Dati, è un processo di analisi del rischio che il titolare del trattamento deve svolgere prima di avviare trattamenti che presentano rischi elevati per i diritti e le libertà delle persone fisiche. Non è un adempimento burocratico, ma uno strumento di risk management: consente di identificare, valutare e mitigare i rischi prima che si concretizzino.
Riferimenti normativi
GDPR, art. 35
«Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali.»
Implicazioni pratiche
Quando è obbligatoria
Il Garante italiano ha pubblicato un elenco di trattamenti per cui la DPIA è obbligatoria: profilazione su larga scala, monitoraggio sistematico di aree pubbliche, trattamento di dati genetici o biometrici, trattamento di dati di soggetti vulnerabili.
Struttura minima
Descrizione del trattamento e delle sue finalità; valutazione della necessità e proporzionalità; valutazione dei rischi per i diritti e le libertà; misure per affrontare i rischi.
Consultazione preventiva del Garante
Se la DPIA evidenzia rischi residui elevati che il titolare non riesce a mitigare, deve consultare preventivamente il Garante prima di avviare il trattamento.
Domande frequenti
Anche una startup deve fare la DPIA?
Dipende dal tipo di trattamento, non dalla dimensione dell'organizzazione. Se una startup sviluppa un'app che tratta dati di salute o effettua profilazione su larga scala, la DPIA è obbligatoria indipendentemente dal numero di dipendenti.
Chi approva la DPIA?
Il titolare del trattamento. Se è stato nominato un DPO, il titolare deve consultarlo nella preparazione della DPIA. Il DPO può fornire raccomandazioni ma non ha potere di veto.