Linee guida sulla valutazione di impatto privacy

 


Adottate dalle Autorità di protezione dati europee, riunite nel Gruppo di lavoro ex art. 29, le Linee guida che aiuteranno amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).


La DPIA, introdotta dal Regolamento europeo 2016/679, consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche. La ratio di tale strumento risiede nell’aiuto che si fornisce al titolare circa il rispetto delle prescrizioni del Regolamento europeo e nella dimostrazione dell’adozione di misure idonee in grado di assicurare tale rispetto. Dunque, la DPIA è una procedura che permette al titolare di realizzare e dimostrare la conformità del trattamento alle norme.
Non è obbligatorio condurre una DPIA per ogni singolo trattamento. Essa è però necessaria se il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
A prescindere comunque dalla sua obbligatorietà, la DPIA rappresenta sempre una buona prassi per Pa e imprese.
Al fine di assicurare un’interpretazione uniforme dei casi in cui la DPIA è obbligatoria, i Garanti Ue hanno fornito anche alcuni criteri in vista dell’elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono tenute ad adottare.
L’inosservanza degli obblighi in materia può implicare l’applicazione di sanzioni pecuniarie da parte delle Autorità garanti. Il mancato svolgimento dell’analisi (quando il trattamento è soggetto a tale valutazione), lo svolgimento non corretto o la mancata consultazione dell’Autorità di controllo competente ove ciò sia necessario, possono comportare l’applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro e, se si tratta di un’impresa, fino al 2% del fatturato globale annuo.