La Valutazione d'Impatto sulla Protezione dei Dati (DPIA, Data Protection Impact Assessment) è uno strumento previsto a livello europeo dall’Art. 35 del GDPR. Si tratta di un processo che aiuta le organizzazioni a identificare e mitigare i rischi per la privacy e la protezione dei dati personali derivanti dalle loro attività di trattamento dei dati.

Valutazione d’Impatto sulla Protezione dei Dati: cos’è?

Nello specifico, la valutazione d’impatto è una procedura volta a definire:

• la necessità e la proporzionalità del trattamento;
• i possibili rischi per i diritti e la libertà delle persone fisiche.

La responsabilità ultima di eseguire la Valutazione d’Impatto è a carico del titolare del trattamento dati, generalmente identificato nella figura del titolare dell’azienda. La DPIA responsabilizza il titolare, che deve rispettare le prescrizioni del GDPR e attestare di adottare misure idonee e proporzionali alla finalità. 
È buona prassi che il Titolare si faccia assistere da una figura qualificata, interna (il Responsabile della Protezione dei Dati - DPO) o esterna. Noi consigliamo di effettuare una consulenza per la privacy da aziende specializzate in privacy e sicurezza, che garantiscano la conformità normativa.

Valutazione d’impatto a cura di un consulente per la privacy

Durante una consulenza per la privacy, il consulente, con la collaborazione del titolare, deve:

• identificare quali dati sono trattati dall’azienda e con quale finalità; 
• identificare quali sono le misure di sicurezza adottate. 

Il GDPR, infatti, chiede di mettere in atto misure volte a garantire l’integrità e la sicurezza dei dati personali trattati. La Valutazione d’Impatto va svolta per ciascun trattamento, in particolare per quelli ad alto rischio.

Il consulente privacy analizza la struttura dell'azienda e le misure di sicurezza implementate nei luoghi dove sono conservati i dati. Questi luoghi possono essere sia fisici (una sede, un ufficio, un archivio cartaceo) che virtuali (computer, server e NAS, suite di lavoro che raccolgono dati in cloud come Google Workspace, mail e PEC). Nella valutazione degli archivi, le misure di sicurezza attive possono essere: firewall e antivirus, backup dei dati, cifratura dei dati, sistemi di gestione degli accessi tramite password e livelli di utenze. Per gli archivi fisici invece parliamo di porte blindate, serrature, distruggi documenti, ecc.

Nell’analizzare l’elenco dei trattamenti, il consulente individua anche le possibili falle e le carenze. Ossia i punti in cui i dati potrebbero essere violati e laddove potrebbe verificarsi un data breach con conseguenze importanti per l’azienda. Da questa analisi nasce il documento della valutazione di impatto che identifica i rischi per la privacy e la protezione dei dati personali all’interno dell’azienda. 

Consegnando la valutazione di impatto all’azienda, il consulente consiglia come affinare la privacy by design e migliorare le misure di sicurezza, ma sarà poi cura del titolare - su cui cade la responsabilità ultima - decidere se adottare le misure di mitigazione consigliate. 

Privacy by design e valutazione d’impatto

La DPIA deve essere eseguita prima di procedere al trattamento e dovrebbe poi essere continuamente sottoposta a riesame. Il principio sotteso alla valutazione d’impatto è quello della privacy by design. Secondo questo principio, la sicurezza dei dati non può essere slegata dall’organizzazione e dall’infrastruttura aziendale, motivo per cui la privacy deve essere considerata un elemento fondamentale sin dalla fase iniziale di progettazione di un sistema o servizio.

Quando la DPIA è obbligatoria

La Valutazione d’Impatto sulla Protezione dei Dati è obbligatoria quando un trattamento rappresenta un rischio elevato per i diritti e la libertà delle persone fisiche. Le linee guida individuano alcuni criteri per individuare i trattamenti che comportano rischi:

• trattamento di dati su larga scala;
• trattamento di dati sensibili ed estremamente personali (ad es. giudiziari, politici, sanitari);
• trattamento di dati di soggetti vulnerabili (ad es. minori, anziani, richiedenti asilo);
• utilizzo di tecnologie innovative (ad es. IoT e riconoscimento facciale);
• monitoraggio sistematico (ad es. videosorveglianza);
• profilazione, trattamenti valutativi e decisioni automatizzate con significativi effetti giuridici (ad es. assunzioni, stipula di prestiti).

In tutti gli altri casi, sebbene la DPIA non sia obbligatoria, resta fortemente consigliata. Resta infatti uno strumento essenziale per contenere i rischi legati al trattamento dei dati personali, garantendo la conformità normativa e la protezione dei diritti degli individui.