Home   >   Articoli   >   La Dpia e la protezione dei dati personali

La Dpia e la protezione dei dati personali

Dalla rivista:
Automazione Oggi

 
Pubblicato il 26 novembre 2024

La valutazione di impatto sulla protezione dei dati (Data protection impact assesment, ovvero Dpia) è un particolare strumento, previsto dal Gdpr, atto a valutare i rischi coinvolti in un processo decisionale automatizzato. Si tratta di un procedimento che consente al Titolare e al Responsabile del trattamento di adottare tutte le misure necessarie e adeguate ad affrontare i rischi legati alla protezione dei dati, permettendo di dimostrare la conformità al Gdpr. Ai sensi dell’art.35 par.1 la Dpia è obbligatoria solamente nel caso in cui il trattamento possa “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”; il par.3 del suddetto articolo fornisce alcuni esempi nei quali un trattamento possa presentare dei rischi elevati. Si legge infatti: “La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b. il trattamento, su larga scala, di particolari categorie di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;o

c. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. La valutazione di impatto sulla protezione dei dati va effettuata prima dell’inizio del trattamento, nella sua fase di progettazione, anche nel caso in cui alcune delle operazioni di trattamento non siano ancora note. Si tratta, inoltre, di un processo continuo, come esplicitato dall’art.35 par.11: “Il Titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione di impatto sulla protezione dei dati, almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento”. Una Dpia risulta estremamente utile per l’identificazione delle misure che dovranno essere introdotte per affrontare i rischi di protezione dei dati coinvolti nel trattamento. Tra le misure comprese possono esservi: » informare sull’esistenza di dati relativi alle persone e sulla logica coinvolta nel processo decisionale automatizzato;

» spiegare il significato e le conseguenze previste dal trattamento per l’interessato;

» fornire ai soggetti interessati i mezzi per opporsi alla decisione;

» consentire agli interessati di esprimere il proprio punto di vista. Le caratteristiche minime che una Dpia deve contenere sono elencate nell’art.35 par.7 e nei considerando 84 e 90 del Gdpr, che indicano:

» una descrizione dei trattamenti previsti e delle finalità del trattamento;

» una valutazione della necessità e proporzionalità dei trattamenti;

» una valutazione dei rischi per i diritti e le libertà degli interessati;

» le misure previste per affrontare i rischi;

» dimostrare la conformità allo stesso regolamento.

Nell’ipotesi in cui il Titolare non sia in grado di trovare delle misure che riescano a ridurre i rischi a un livello accettabile, si rende necessario consultare il Garante della Privacy. Tale consulto è necessario anche nel caso in cui sia stabilito dal diritto dello Stato membro, oppure per un compito di interesse pubblico (come il trattamento con riguardo alla protezione sociale e alla sanità pubblica). Il Garante della Privacy, nel caso in cui ritenga che il trattamento violi la normativa prevista dal Gdpr, fornisce un parere scritto al Titolare e al Responsabile del trattamento, avvalendosi dei poteri previsti dall’art.58 Gdpr. In conclusione, la Dpia rappresenta uno degli strumenti più importanti previsti dal Gdpr, in quanto esprime appieno il concetto di ‘accountability’, ovvero ‘responsabilizzazione’, dei Titolari e dei Responsabili in merito ai trattamenti da loro effettuati. Tali soggetti, infatti, non devono solamente garantire l’osservanza del Regolamento in relazione ai trattamenti da loro effettuati, ma anche dimostrare il modo in cui ne garantiscono l’osservanza.

Scarica il pdf

Iscriviti alle newsletter »


Contenuti correlati

  • La figura del DPO: l’importanza di una nomina esterna

    Tra le più importanti novità introdotte dal Regolamento Europeo 2016/679 (General Data Protection Regulation, Gdpr) vi è sicuramente la figura del Data Protection Officer (DPO, ovvero Responsabile della Protezione dei Dati, RPD). Una delle funzioni principali del...

  • Gestione del CV e protezione dei dati personali

    L’entrata in vigore del Regolamento UE 2016/679 (General data protection regulation, di seguito Gdpr) ha profondamente inciso sulla disciplina relativa alla protezione dei dati personali. Tra i momenti più delicati, in tal senso, vi è sicuramente il...

  • Videosorveglianza in azienda

    La decisione da parte di un’impresa di installare un impianto di videosorveglianza può derivare dalle più diverse ragioni: protezione del patrimonio aziendale, sicurezza sul lavoro oppure ottimizzazione della produzione. Questa ha però una serie di importanti implicazioni...

  • Le novità introdotte dal Digital Service Act

    Il Digital Service Act, Reg. UE 2022/2065, è un nuovo regolamento europeo nato con l’obiettivo principale di disciplinare il mondo della comunicazione online, rendendolo maggiormente trasparente. Accanto allo stesso è nato il Digital Markets Act, Reg. UE...

  • Gli accertamenti ispettivi di Enasarco nelle società

    Fondazione Enasarco è l’ente previdenziale obbligatorio italiano per tutti i professionisti che esercitano attività di intermediazione commerciale e finanziaria, in virtù di un contratto di agenzia ovvero di rappresentanza. Una delle principali attività svolta dalla Fondazione è...

  • Il controllo a distanza del lavoratore

    L’evoluzione tecnologica consente alle aziende un controllo maggiormente invasivo dell’operato del lavoratore e dei flussi informativi allo stesso riferibili. Al fine di non ledere la privacy e la riservatezza del lavoratore, il datore di lavoro, nell’esercizio del...

  • Dati personali e intelligenza artificiale

    L’intelligenza artificiale ogni giorno fa passi avanti, scopre nuove frontiere, e raggiunge nuovi obiettivi innovativi. Essa indubbiamente ha portato molti benefici, tra cui una migliore assistenza sanitaria, una produzione più efficiente e un’energia più conveniente e sostenibile....

  • Il licenziamento per scarso rendimento del lavoratore

    Ogni lavoratore deve svolgere la propria mansione lavorativa secondo l’ordinaria diligenza e professionalità, seguendo le direttive disposte dalla propria società… Leggi l’articolo

  • Le molestie sessuali sul luogo di lavoro

    Un aspetto da considerare sui luoghi di lavoro è quello inerente alle molestie sessuali, la cui disciplina è contenuta nel Codice delle Pari Opportunità (D.lgs. 11 aprile 2006, n.198)… Leggi l’articolo

  • Ccnl: le regole del recesso

    Il Ccnl (Contratto collettivo nazionale di lavoro) costituisce lo strumento mediante il quale le organizzazioni dei lavoratori e dei datori di lavoro definiscono in modo uniforme, in un determinato settore d’attività, la disciplina dei rapporti di lavoro...

Scopri le novità scelte per te x

Automazione Plus è un network di Quine.
Quine srl
Direzione, amministrazione, redazione, pubblicità
Via Spadolini 7 - 20141 Milano
Tel. +39 02 864105 | Fax +39 02 72016740 | P.I.: 13002100157
Contatti: media.quine.it | www.quine.it | quineformazione.it
Privacy
Copyright 2024 - Tutti i diritti riservati