Il Data Protection Impact Assessment (DPIA)

19-07-21 | privacy

Il Data Protection Impact Assessment (DPIA)

Il Data Protection Impact Assessment (DPIA) è un processo utilizzato per aiutare le organizzazioni a rispettare efficacemente il GDPR e a garantire che i principi di responsabilità, privacy by design e privacy by default siano effettivamente messi in pratica dall’organizzazione. Il processo di DPIA deve essere documentato per iscritto.

Sebbene la pubblicazione del DPIA non sia un obbligo formale imposto dal GDPR, è auspicabile che i titolari del trattamento prendano in considerazione l’opportunità di pubblicare in tutto o in parte le loro DPIA come segno di trasparenza e responsabilità, soprattutto nei casi in cui siano coinvolti soggetti pubblici (ad esempio, quando la DPIA è effettuata da un ente pubblico).

Porre in essere degli efficaci processi di DPIA è utile per soddisfare il requisito della “privacy by design” in quanto consente alle organizzazioni di individuare e risolvere i problemi in una fase precoce, riducendo così sia i rischi per la sicurezza dei dati degli utenti, sia il rischio di sanzioni e di danni reputazionali che potrebbero altrimenti verificarsi per l’organizzazione.

In generale, la DPIA è obbligatoria solo nei casi in cui l’attività di trattamento dei dati è suscettibile di comportare un rischio elevato per gli utenti (questo vale in particolare per l’introduzione di nuove tecnologie di trattamento). Tuttavia, se non si è sicuri che la propria attività di trattamento rientri o meno in quello che viene considerato un “rischio elevato”, si raccomanda di effettuare comunque una DPIA, in quanto si tratta di uno strumento utile a garantire il rispetto della legge.

Le attività di trattamento dei dati considerate ad “alto rischio” includono:

il trattamento di dati sensibili;
il monitoraggio sistematico di un’area accessibile al pubblico (ad esempio, tramite video sorveglianza);
le situazioni in cui vengono effettuate valutazioni automatizzate e approfondite dei dati personali al fine di influenzare in modo significativo decisioni rilevanti per la vita dell’utente.

Le valutazioni d’impatto (DPIA) possono essere richieste anche in altre circostanze (sulla base di una valutazione caso per caso), tra cui il trattamento dei dati relativi a persone vulnerabili (come bambini o anziani), il trasferimento di dati al di fuori del territorio UE e il trattamento di dati utilizzati per la profilazione. Ulteriori informazioni sui casi in cui è necessario effettuare una DPIA sono disponibili qui.

La relazione prodotta a seguito di un processo di DPIA dovrebbe includere:

una descrizione completa dei dati trattati;
lo scopo dell’attività di trattamento (e, se del caso, le informazioni sugli interessi legittimi del responsabile del trattamento);
una valutazione dell’ambito e della necessità dell’attività di trattamento in relazione alla finalità perseguita;
una valutazione del rischio per gli utenti;
le misure in atto per far fronte a tale rischio.

Le conseguenze del mancato adeguamento

Le conseguenze legali per il mancato rispetto del GDPR possono consistere in sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione (a seconda di quale sia il maggiore tra questi due valori). Altrettanto rilevanti sono anche gli altri provvedimenti che possono essere attuati nei confronti delle organizzazioni che hanno commesso una violazione.

Le conseguenze legali per il mancato rispetto del GDPR possono consistere in sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione

Tali provvedimenti comprendono:

richiami ufficiali (per violazioni avvenute per la prima volta);
verifiche periodiche sulla protezione dei dati;
danni da responsabilità.

Il GDPR conferisce agli utenti il diritto esplicito di presentare un reclamo presso un’autorità di controllo qualora ritengano che il trattamento dei loro dati personali sia stato effettuato in violazione delle disposizioni del regolamento. Ad esempio, se viene presentata una segnalazione all’autorità in merito a un’istanza di violazione della normativa, l’autorità può scegliere di effettuare una verifica dei processi di trattamento dei dati da parte dell’organizzazione.

Qualora si accerti che alcune attività di trattamento siano state svolte in modo illecito, non solo viene comminata una sanzione pecuniaria, ma all’organizzazione può anche essere vietato di fare un ulteriore uso sia dei dati oggetto del reclamo che dei dati acquisiti utilizzando meccanismi analoghi. Ciò significa che se l’uso improprio riguardava, ad esempio, la raccolta di un indirizzo email, l’organizzazione rischia di non poter utilizzare l’intero database di email in suo possesso.

Il GDPR conferisce inoltre agli utenti il diritto al risarcimento di eventuali danni derivanti dall’inosservanza delle norme da parte di un’organizzazione, rendendo in tal modo i trasgressori suscettibili di essere citati in giudizio.

fonte: iubenda.com

Hai bisogno di maggiori informazioni?

Facciamoci una chiacchierata

Cookie	Durata	Descrizione
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gid	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un report analitico delle prestazioni del sito web. Alcuni dei dati raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 mesi	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-necessary	11 mesi	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Necessario".