Cosa è la DPIA, le linee guida del Garante Privacy

Il regolamento generale sulla protezione dei dati (UE) 2016/679, anche meglio conosciuto con l’acronimo di GDPR, viene applicato a partire dal 25 maggio 2018. Per questo possiamo dire che questo è un TU di nuova generazione, che riprende al suo interno tutte le indicazioni utili al fine di poter dare una risoluzione ai problemi che vengono in atto in rete, come ad esempio il diritto all’oblio, oppure il trattamento non consono dei dati personali. A proposito di trattamento, è proprio l’art. 35 del GDPR che introduce il concetto molto importante per gli utenti in rete, della valutazione d’impatto sulla protezione dei dati, così come previsto anche dalla direttiva 2016/680.

Cosa è la valutazione di impatto o anche definita DPIA

La valutazione d’impatto sulla protezione dei dati, in acronimo DPIA, è quel processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli. Queste vengono definiti anche quali strumenti importanti al fine della responsabilizzazione dei soggetti in tema di privacy e diritti, poiché portano i titolari del trattamento non soltanto al rispetto dei requisiti del GDPR, ma servono anche a dimostrare che sono state utilizzate misure appropriate tali da garantire il rispetto del GDPR. In sostanza, così come riportato dalle linee guida in tema di DPIA del Garante Privacy italiano, una valutazione d’impatto sulla protezione dei dati è un processo inteso a garantire e dimostrare la conformità.

L’approccio normativo, l’art. 35 par. 7 del GDPR

Il regolamento generale sulla protezione dei dati, GDPR, non definisce formalmente il concetto di valutazione d’impatto sulla protezione dei dati come tale, il contenuto di quest’ultima è stabilito dall’art. 35 par. 7 del GDPR e sono:

-una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, laddove possibile, l’interesse legittimo perseguito dal titolare del trattamento;

– una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

– una valutazione dei rischi per i diritti e le libertà degli interessati;

– le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i

meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento sulla protezione dei dati personali, tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Inosservanza delle disposizione sulla DPIA

Sempre contenuto nel GDPR vi è la norma che sancisce la sanzione ovvero la conseguenza negativa a fronte della l’inosservanza dei requisiti che dallo stesso vengono stabiliti. Invero, il diniego delle regole riportatate sopra può dare la stura a rimedi sanzionatori, come ad esempio, la più frequente, le sanzioni pecuniarie imposte dall’autorità competente, il Garante Privacy. Ancora, la mancata esecuzione di una valutazione d’impatto sulla protezione dei dati nei casi in cui il trattamento è soggetto alla stessa e l’esecuzione in maniera errata di detta valutazione, oppure la mancata consultazione dell’autorità di controllo laddove richiesto, possono comportare una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di euro oppure, nel caso in cui inadempiente sia un’impresa,  è possibile che a questa venga fatta una multa pari a fino al 2% del fatturato annuo globale dell’anno precedente, a seconda di quale dei due importi sia quello superiore.