L’articolo offre una breve panoramica dei principali aspetti legati alla valutazione di impatto sulla protezione dei dati personali, fra le principali e più significative novità previste dal Reg. UE 2016/679 nell’ambito del nuovo modello di approccio alla privacy basato sul risk assessment.

(*) Articolo estratto da Amministrazione & Finanza n. 05/2018, Ipsoa, Milano, 2018.

Inquadramento generale

La valutazione di impatto sulla protezione dei dati personali (nota anche con l’acronimo inglese “DPIA – Data Protection Impact Assessment”) rappresenta una delle principali e più significative novità previste dal Reg. UE
2016/679 (Regolamento Generale in materia di Protezione dei Dati, di seguito anche “Regolamento” o “RGPD”). In particolare, il concetto di valutazione di impatto sulla protezione dei dati è introdotto dall’art. 35 del Regolamento e dall’art. 27 della Direttiva UE 2016/680, due strumenti normativi che insieme costituiscono il c.d. pacchetto protezione dati.

In termini generali, come meglio si vedrà nel prosieguo, la valutazione di impatto è una misura di natura preventiva che si incardina all’interno del nuovo modello di approccio alla privacy basato sul risk assessment del titolare, richiedendo l’attivazione di un vero e proprio processo di valutazione del trattamento volto a definirne la necessità, la proporzionalità e la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati
personali, con l’obiettivo di individuare i suddetti rischi e le misure adeguate per mitigare e ridurre al minimo gli effetti pregiudizievoli.

Come si evince dal dato normativo, la valutazione di impatto non è richiesta per tutti i trattamenti effettuati dal titolare, bensì è necessaria soltanto quando il trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Il compito di effettuare la valutazione in merito alla presenza o meno del rischio elevato spetta, quindi, al titolare del trattamento; per queste ragioni, tale adempimento rientra nell’ambito delle c.d. misure di responsabilizzazione (o accountability nell’accezione inglese) in quanto consente al titolare di rispettare i requisiti previsti in materia di protezione dei dati personali e, allo stesso tempo, di dimostrare l’adeguatezza delle misure adottate per garantire la conformità al Regolamento.

Inoltre, in linea con il principio di neutralità che caratterizza l’intero impianto normativo del Regolamento, anche in materia di valutazione di impatto le norme di riferimento non definiscono una particolare metodologia da seguire
per effettuare l’analisi bensì, oltre ad individuare i casi in cui la valutazione si considera necessaria, si limitano esclusivamente ad inquadrare, in termini generali, tutti gli aspetti che devono essere presi in considerazione e i requisiti minimi sul contenuto della valutazione di impatto senza fornire, peraltro, alcuna definizione del termine.

Prima di esaminare nello specifico gli aspetti peculiari della DPIA, è doveroso fare un breve accenno al rapporto di quest’ultima con alcuni istituti previsti dal Codice della privacy…

Per consultare l’articolo completo clicca qui.

Gianluca Satta

Gianluca Satta

Avvocato del Foro di Cagliari, Consulente e Cultore di Diritto dell'Informatica e delle Nuove Tecnologie presso l'Università degli Studi di Cagliari
Gianluca Satta