DPIA – Data Protection Impact Assessment

Non solo il Dpo, ma anche la Dpia. Tra gli obblighi previsti dal Regolamento generale in materia di protezione dei dati (Gdpr), che sarà pienamente efficace dal 25 maggio, non figura solamente il Data Protection Officer (Dpo), ma anche la valutazione d’impatto sulla protezione dei dati (Dpia – Data Protection Impact assessment). È un processo inteso a garantire e dimostrare la conformità al regolamento europeo e i rischi legati al trattamento dei dati.

“Quando un tipo di trattamento, prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

Se il Dpo è obbligatorio per enti e aziende che effettuano il monitoraggio dei dati in modo regolare e sistematico su larga scala, la Dpia “è obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone”

1. Trattamento valutativi o di scoring, compresa la profilazione.
2. Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni).
3. Il monitoraggio sistematico (videosorveglianza).
4. Trattamento di dati sensibili, giudiziari o di natura estremamente personale (come le opinioni politiche).
5. Trattamento dati personali su larga scala.
6. Trattamento di Big Data.
7. Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo).
8. Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, dispositivi IoT, ecc…).