Cosa si intende per DPIA

Preliminarmente è utile operare una breve analisi sulla definizione di diritto alla rimozione dei dati personali dai motori di ricerca è una dei principali cambiamenti del GDPR. Nella prassi questo tipo di diritto viene comunemente definito diritto all’oblio e viene disciplinato ai sensi dell’art. 17 GDPR.  La disposizione della norma chiarisce che “l‘interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione”.

Cosa è la DPIA

La DPIA, è strettamente connessa alle nuove tecnologie nonché al GDPR. Invero per DPIA si intende quella “valutazione d’impatto sulla protezione dei dati” il quale oggi è riconosciuto quale strumento di fondamentale importanza. La DPIA consente di gestire in maniera molto facile i rischi per i diritti e le libertà delle persone fisiche rispetto al trattamento dei loro dati personali. Nell’ambito del GDPR il l’art. 35 introduce proprio l’istituto della data protection impact assessment (DPIA) il quale viene definito quale strumento al fine di descrivere il trattamento, valutarne necessità e proporzionalità e quindi facilitare la gestione dei rischi collegati ai diritti ed alle libertà precisando che: “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”. La DPIA, ad onor del vero, non solo consente ai soggetti, siano queste persone fisiche o giuridiche, di avere una maggiore contezza sul trattamento effettuato ma allo stesso tempo consente al Titolare del Trattamento, anche per il tramite del Responsabile (DPO) di conformarsi alla normativa data protection. La DPIA quindi analizza il livello del rischio e contestualmente individua le misure idonee ad evitarlo. 

Il punto di vista normativo

Rispetto al punto di vista normativo, prima dell’introduzione del D.lgs. nr. 101/2018 l’approccio alla materia GDPR era regolamentato secondo il rispetto di talune “misure minime di sicurezza” mentre oggi si parla invece di “misure di sicurezza adeguate al rischio”. Il Titolare del Trattamento in quest’ottica di accountability, dovrà effettuare preventivamente l’analisi dei rischi dei trattamenti posti in essere. In ultima analisi è bene chiarire che l’Autorità per la Protezione dei dati personali ha messo a disposizione un software gratuito che è in grado di gestire l’intero processo DPIA denominato “PIA” che costituisce un valido strumento di orientamento anche in relazione al c.d. ciclo di Deming.