La valutazione di impatto: cosa dicono le linee guida del Garante Privacy

Il regolamento generale sulla protezione dei dati (UE) 2016/679 o meglio conosciuto come GDPR, si applica a partire dal 25 maggio 2018. L’art. 35 del regolamento generale sulla protezione dei dati introduce il concetto di valutazione d’impatto sulla protezione dei dati, così come previsto anche dalla direttiva 2016/680.

La valutazione d’impatto sulla protezione dei dati, in acronimo DPIA, è quel processo inteso a descrivere il trattamento, valutare la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli. 

Le valutazioni d’impatto sulla protezione dei dati sono strumenti di notevole importanza per la responsabilizzazione dei soggetti in tema di privacy e diritti, poiché portano i titolari del trattamento non soltanto al rispetto dei requisiti del GDPR, ma servono anche a dimostrare che sono state utilizzate misure appropriate tali da garantire il rispetto del GDPR. In sostanza, così come riportato dalle linee guida rispetto alla DPIA Garante Privacy italiano, una valutazione d’impatto sulla protezione dei dati è un processo inteso a garantire e dimostrare la conformità.

Ciononostante, anche se il GDPR non definisce formalmente il concetto di valutazione d’impatto sulla protezione dei dati come tale, il contenuto di quest’ultima è stabilito dall’art. 35 par. 7 del GDPR e sono: 

-una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, laddove possibile, l’interesse legittimo perseguito dal titolare del trattamento;

– una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

– una valutazione dei rischi per i diritti e le libertà degli interessati;

– le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i

meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento sulla protezione dei dati personali, tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. 

Quali sono gli effetti della non osservanza sulla DPIA 

Ai sensi del GDPR, ovvero del Regolamento Europeo sulla Privacy, l’inosservanza dei requisiti ivi stabiliti può portare a sanzioni pecuniarie imposte dall’autorità competente, il Garante Privacy. Ancora, la mancata esecuzione di una valutazione d’impatto sulla protezione dei dati nei casi in cui il trattamento è soggetto alla stessa e l’esecuzione in maniera errata di detta valutazione, oppure la mancata consultazione dell’autorità di controllo laddove richiesto, possono comportare una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di euro oppure, nel caso in cui inadempiente sia un’impresa,  è possibile che a questa venga fatta una multa pari a fino al 2% del fatturato annuo globale dell’anno precedente, a seconda di quale dei due importi sia quello superiore.

Campo di applicazione

Le linee guida del Garante Privacy sulla valutazione di impatto sulla protezione dei dati specificano che non è obbligatorio elaborare una valutazione d’impatto sulla protezione dei dati per ciascun trattamento. Invero, è necessario che questa si realizzi laddove il trattamento “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35 par 1 GDPR).

A cosa servono le  linee guida sul DPIA

La funzione principale delle linee guida in esame è sostanzialmente quello di avere una anticipazione sui futuri lavori del comitato europeo per la protezione dei dati e, conseguentemente, quello di chiarire le pertinenti disposizioni del regolamento generale sulla protezione dei dati in maniera da assistere i titolari del trattamento nel rispettare la legge, nonchè da fornire la certezza del diritto a quei titolari del trattamento che sono tenuti a realizzare una valutazione d’impatto sulla protezione dei dati. Il GDPR, infatti, prevede che i Titolari del trattamento realizzino misure adeguate al fine di tutelare la privacy degli interessati, oltre che avere la funzione di dimostrarne il rispetto, tenendo conto tra l’altro dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.