L’art. 35 del Regolamento (UE) 2016/679 impone l’adozione di un Data Protection Impact Assessment (DPIA) laddove il Titolare si trovi ad operare nell’ambito di un trattamento di dati personali “che presenta un rischio elevato per i diritti e le libertà delle persone fisiche”.

La valutazione di impatto deve consentire al Data Controllerl’accertamento della natura e del reale livello di rischio Privacy cui è esposta la struttura, in modo da prevedere l’attuazione di adeguate contromisure di sistema idonee a mitigarne i negativi effetti.

In tale chiave prospettica, nell’ambito della descritta valutazione d’impatto è sempre necessario procedere a:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, con indicazione – ove possibile – dell’interesse legittimo perseguito dal Titolare;
  2. una valutazione sistemica della necessità e proporzionalità dei trattamenti in relazione alla finalità;
  3. una ricognizione, anche di esito negativo, degli eventuali rischi per i diritti e le libertà degli interessati;
  4. una sintetica illustrazione delle misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi di protezione dei dati personali, in perfetta conformità al GDPR.

In ossequio alle descritte finalità, l’acquisizione dei dati personali ad opera della struttura deve essere strettamente funzionale all’esercizio della relativa attività e deve sempre avvenire in stretta aderenza al principio di adeguatezza.

La gestione dei dati deve essere attuata nel rispetto dei principi di liceità, correttezza e dell’accountabilitye la relativa conservazione deve necessariamente utilizzare strumenti di archiviazione cartacea e informatica pienamente rispondenti alle prescrizioni di sicurezza disciplinate del Regolamento (UE) 2016/679.

Sebbene siano molteplici gli ambiti di comune richiamo, è utile osservare come – rispetto alla valutazione effettuata nella redazione del documento di Data Breach e in relazione all’istituzione del relativo registro delle infrazioni – la DPIA persegua un diverso scopo.

Se in sede di DPIA, infatti, devono essere valutate – attraverso una stima prognostica – le conseguenze potenziali nel caso si verifichi un’ipotetica violazione, con il Data Breach, invece, il Titolare del trattamento è chiamato a misurare concretamente le circostanze della violazione unitamente alle misure per porvi rimedio o, quantomeno, arginarle.

Anche in questo ambito, operano – come per tutta la disciplina del nuovo GDPR – da prezioso ausilio le Linee Guida edite dal WP29, stabilendo il novero delle complesse attività di analisi e assessmentda condurre, principalmente ancorate ad una serie di fattori che i titolari devono tenere in primaria considerazione ai fini della compiuta valutazione dell’effettivo livello di rischio.

Le linee-guida del WP29 precisano, in particolare, quando una valutazione di impatto debba essere considerata obbligatoria (oltre ai casi espressamente indicati dal regolamento all’art. 35), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

Le linee-guida chiariscono, peraltro, anche quando una valutazione di impatto non sia richiesta: ciò vale, in particolare, per i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e non abbiano presentato modifiche significative anteriori al 25 maggio 2018.

In altri termini, la valutazione di impatto si pone – in disparte i descritti requisiti di legge – come una buona prassi, poiché essa permette al Titolare – in adesione al principio della necessaria protezione dei dati fin dalla fase di progettazione di qualsiasi trattamento (data protection by design) – di acquisire utili indicazioni atte a prevenire incidenti futuri.

In merito a quale figura Privacy debba condurre tale valutazione d’impatto, l’Autorità Garante ha, di recente, avuto modo di precisare come sia onere del Titolare procedervi, anche se la materiale esecuzione della valutazione può essere affidata ad un soggetto terzo, sia esso interno o esterno all’organizzazione.

Il Titolare è, in ogni caso, chiamato a monitorarne lo svolgimento, consultandosi con il DPO e, ove necessario, avvalendosi delle competenze del Responsabile delle Sicurezza dei Sistemi Informatici e dell’IT Manager.

Tags: ,