Forniamo un quadro d’insieme normativamente corretto e operativamente utile per gestire l’obbligo della DPIA, chiudendo il ciclo di analisi sui documenti fondamentali per la compliance GDPR.
(Vedi: Il Registro delle Attività di Trattamento ex Art. 30 GDPR – Misure Organizzative Principali –Misure Tecniche per la Sicurezza del Trattamento ex Art. 32 GDPR)
Concetto Fondamentale e Obbligo di Condotta
La DPIA (Data Protection Impact Assessment) è un processo obbligatorio di due diligence, prescritto dall’articolo 35 del GDPR, che il Titolare del trattamento deve svolgere preventivamente prima di avviare qualsiasi trattamento che, per sua natura, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Non è un mero adempimento formale, ma uno strumento proattivo di governance volto a identificare, analizzare e mitigare sistematicamente i rischi del trattamento, integrando i principi di *privacy by design e by default*.
Casi in cui la DPIA è Obbligatoria
L’obbligo sussette quando il trattamento “può presentare un rischio elevato”. Per individuare tali casi, è necessario riferirsi ai criteri delle Linee Guida dell’EDPB e, in particolare, all’elenco vincolante pubblicato dal Garante per la Protezione dei dati personali italiano.
Le tipologie di trattamento che tipicamente richiedono una DPIA includono:
Valutazione sistematica e profilazione: Trattamenti che implicano la valutazione di aspetti personali (rendimento, situazione economica, salute, interessi, affidabilità, comportamenti, spostamenti), in particolare se alla base di decisioni automatizzate con effetti giuridici o simili.
Monitoraggio sistematico: Trattamento utilizzato per osservare, monitorare o controllare gli interessati, inclusa la videosorveglianza di aree accessibili al pubblico.
Trattamento di dati sensibili o giudiziari: Categorie particolari di dati (ex Art. 9) e dati relativi a condanne penali e reati (ex Art. 10), specialmente se su larga scala.
Trattamenti su larga scala: La valutazione considera il numero di interessati, il volume dei dati, la durata e l’estensione geografica.
Combinazione di dataset: L’incrocio o la combinazione di insiemi di dati raccolti per finalità diverse, in modo tale da travalicare le ragionevoli aspettative dell’interessato.
Dati relativi a soggetti vulnerabili: Minori, dipendenti, pazienti, anziani o richiedenti asilo, per i quali sussiste uno squilibrio di potere nel rapporto con il Titolare.
Uso di tecnologie innovative: L’impiego di nuove soluzioni tecnologiche o organizzative (es. riconoscimento facciale, IA) il cui impatto non è ancora noto.
Obbligatorio è consultare l’elenco del Garante per verificare la sussistenza dell’obbligo.
Contenuti Minimi della DPIA
Ai sensi dell’articolo 35, paragrafo 7, la DPIA deve contenere almeno:
1. Descrizione Sistematica: Una descrizione chiara delle operazioni di trattamento previste e delle relative finalità, incluso l’eventuale interesse legittimo perseguito.
2. Valutazione di Necessità e Proporzionalità: Una valutazione della necessità e proporzionalità delle operazioni di trattamento in relazione alle finalità.
3. Valutazione dei Rischi: Una valutazione dei rischi per i diritti e le libertà degli interessati.
4. Misure di Mitigazione: Le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per dimostrare la conformità al Regolamento.
Governance del Processo
Responsabilità Ultima: La responsabilità di condurre e documentare la DPIA è del Titolare del trattamento. L’eventuale delega a un consulente esterno non solleva il Titolare dalla sua responsabilità ultima.
Ruolo del DPO (RPD): Se designato, il Responsabile della protezione dei dati deve fornire un parere consultivo sulla DPIA e monitorarne l’esecuzione. Il parere reso e le decisioni conseguenti del Titolare devono essere documentati all’interno della DPIA stessa.
Ruolo del Responsabile del trattamento: Se coinvolto, il Responsabile ha l’obbligo di assistere il Titolare, fornendo tutte le informazioni necessarie per lo svolgimento della valutazione.
Consultazione dell’Autorità di Controllo
Qualora, al termine del processo di valutazione e nonostante le misure di mitigazione identificate, il rischio residuo sia ancora elevato, il Titolare del trattamento ha l’obbligo di consultare preventivamente il Garante prima di avviare il trattamento (Art. 36 GDPR). Procedere senza questa consultazione costituirebbe una violazione del Regolamento.
Pubblicazione e Aggiornamento
Pubblicazione: La pubblicazione della DPIA non è obbligatoria, ma è una prassi raccomandata per dimostrare trasparenza e accountability. La versione pubblicata può essere una sintesi, per proteggere segreti commerciali o informazioni di sicurezza.
Aggiornamento: La DPIA non è un esercizio “una tantum”. Deve essere intesa come un processo continuo e aggiornata qualora intervengano cambiamenti significativi nella natura, nel contesto, nelle finalità o nei rischi del trattamento.
