AO 458

NOVEMBRE-DICEMBRE 2024 AUTOMAZIONE OGGI 458 | 115 a valutazione di impatto sulla protezione dei dati (Data pro- tection impact assesment, ovvero Dpia) è un particolare strumento, previsto dal Gdpr, atto a valutare i rischi coinvolti in un processo decisionale automatizzato. Si tratta di un procedimento che consente al Titolare e al Responsabile del trattamento di adottare tutte le misure neces- sarie e adeguate ad affrontare i rischi legati alla protezione dei dati, permettendo di di- mostrare la conformità al Gdpr. Ai sensi dell’art.35 par.1 la Dpia è obbligatoria solamente nel caso in cui il trattamento possa “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”; il par.3 del sud- detto articolo fornisce alcuni esempi nei quali un trattamento possa presentare dei rischi ele- vati. Si legge infatti: “La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuri- dici o incidono in modo analogo significa- tivamente su dette persone fisiche; b. il trattamento, su larga scala, di particolari categorie di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;o c. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. La valutazione di impatto sulla protezione dei dati va effettuata prima dell’inizio del trattamento, nella sua fase di progettazione, anche nel caso in cui alcune delle opera- zioni di trattamento non siano ancora note. Si tratta, inoltre, di un processo continuo, come esplicitato dall’art.35 par.11: “Il Titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valuta- zione di impatto sulla protezione dei dati, almeno quando insorgono variazioni del ri- schio rappresentato dalle attività relative al trattamento”. Una Dpia risulta estremamente utile per l’i- dentificazione delle misure che dovranno essere introdotte per affrontare i rischi di protezione dei dati coinvolti nel trattamento. Tra le misure comprese possono esservi: » informare sull’esistenza di dati relativi alle persone e sulla logica coinvolta nel pro- cesso decisionale automatizzato; » spiegare il significato e le conseguenze previste dal trattamento per l’interessato; » fornire ai soggetti interessati i mezzi per opporsi alla decisione; » consentire agli interessati di esprimere il proprio punto di vista. Le caratteristiche minime che una Dpia deve contenere sono elencate nell’art.35 par.7 e nei considerando 84 e 90 del Gdpr, che in- dicano: » una descrizione dei trattamenti previsti e delle finalità del trattamento; » una valutazione della necessità e propor- zionalità dei trattamenti; » una valutazione dei rischi per i diritti e le libertà degli interessati; » le misure previste per affrontare i rischi; » dimostrare la conformità allo stesso rego- lamento. Nell’ipotesi in cui il Titolare non sia in grado di trovare delle misure che riescano a ridurre i rischi a un livello accettabile, si rende necessario consultare il Garante della Privacy. Tale consulto è necessario anche nel caso in cui sia stabilito dal diritto dello Stato membro, oppure per un compito di interesse pubblico (come il trattamento con riguardo alla protezione sociale e alla sanità pubblica). Il Garante della Privacy, nel caso in cui ritenga che il trattamento violi la normativa prevista dal Gdpr, fornisce un pa- rere scritto al Titolare e al Responsabile del trattamento, avvalendosi dei poteri previsti dall’art.58 Gdpr. In conclusione, la Dpia rappresenta uno degli strumenti più importanti previsti dal Gdpr, in quanto esprime appieno il concetto di ‘ac- countability’, ovvero ‘responsabilizzazione’, dei Titolari e dei Responsabili in merito ai trattamenti da loro effettuati. Tali soggetti, infatti, non devono solamente garantire l’osservanza del Regolamento in relazione ai trattamenti da loro effettuati, ma anche dimostrare il modo in cui ne garantiscono l’osservanza. L La Dpia e la protezione dei dati personali Cristiano Cominotto Studio legale A.L. Assistenza Legale @cristiano-cominotto AUTOMAZIONE OGGI AVVOCATO