DPIA che cos’è? è obbligatoria?

DPIA che cos’è? La DPIA è uno degli strumenti prescritti dal GDPR per la tutela dei dati personali, in diversi casi questo documento è obbligatorio.

DPIA che cos’è?

DPIA o Data Protection Impact Assessment è una valutazione preliminare di valutazione dei rischi in caso di violazione e delle relative conseguenze.

Il Data Protection Impact Assessment è la valutazione dell’impatto che una violazione del trattamento dei dati avrebbe, è uno strumento importante per ogni azienda che oggi vuole competere sui mercati di diversi settori.

Il responsabile per questo documento è il titolare del trattamento ma non deve essere necessariamente prodotto da questa figura; la DPIA può essere redatta dal personale interno all’azienda o attraverso una consulenza esterna di azienda specializzata.

Il titolare del trattamento vigila sulla DPIA e consulta il DPO o i soggetti coinvolti nella valutazione dei rischi.

Il team Dornick monitora e aggiorna costantemente la DPIA di tutte le nostre aziende clienti per renderla conforme ai cambiamenti di carattere tecnologico e processuale.

DIPIA: l’esempio del furto domestico

In buona sostanza è l’inventario dei beni di valore che ad esempio sono presenti all’interno di un’abitazione e rappresenta l’impatto che un furto domestico potrebbe avere in termini di conseguenze; se in casa sono presenti la copia delle chiavi dell’auto, ad esempio, una violazione dell’abitazione potrebbe comportare anche il furto dell’auto.

Se fossero presenti in casa documenti con le credenziali di accesso ai conti bancari, allora sarebbero a rischio anche quelli.

A volte le violazioni generano rischi concatenati anche per altre persone, spesso si lascia un doppione delle chiavi della propria abitazione a persone di fiducia, in caso di emergenza, un’eventuale violazione dell’abitazione di queste persone metterebbe a rischio anche la sicurezza della nostra abitazione.

Allo stesso modo, la maggior parte delle aziende moderne (e-commerce, agenzie assicurative, laboratori di analisi, cliniche private, solo per fare qualche esempio) opera quotidianamente con dati importanti che hanno un valore di rischio variabile, senza una valutazione di impatto non è possibile pianificare l’utilizzo di servizi e strumenti per trattare e conservare in modo adeguato questi dati.

DPIA: affrontare la valutazione di impatto dei rischi

La prima cosa da fare è sicuramente valutare il grado di rischio per i diritti dei soggetti interessati dal trattamento.
Scopri quanto è a rischio la tua azienda con il nostro test gratuito

DPIA che cos’è e perché è necessario adottarla

Questa valutazione di impatto (come chiarito dall’EDPB Comitato Europeo per la protezione dei dati) non rappresenta un atto da redigere una volta sola ma è un processo costantemente aggiornato che aderisce alle innovazioni tecnologiche e ai cambiamenti aziendali.

In linea con il principio di Accountability l’articolo 24 del GDPR – (Responsabilità del titolare del trattamento) chiarisce:
1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

La valutazione d’impatto dei rischi viene disciplinata attraverso gli articoli 35 e 36 del GDPR.

DIPIA è obbligatoria?

Più in particolare l’articolo 35 definisce le casistiche per aziende e professionisti per i quali la DPIA è richiesta, tali casistiche sono:

  1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
  3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.