Cos’è un DPIA e cosa dicono gli artt. 32, 35 e 36 del GDPR

Come abbiamo già avuto modo di vedere, il Regolamento UE 2016/679 in materia di protezione dei dati personali (GDPR) ha portato ad un cambio totale di direzione nell’impostazione degli adempimenti, soprattutto rispetto a quanto previsto in precedenza in Italia.

Il principio fondamentale è quello dell’accountability, ossia della capacità della tua azienda di lasciare traccia delle motivazioni che hanno portato alle scelte riguardo a finalità e modalità del trattamento ed alle misure da adottare. Non esistono più misure di sicurezza “fisse” e uguali per tutti, bensì la necessità di dimostrare l’adozione di misure adeguate.

Cosa dicono gli art. 32, 35 e 36 del GDPR?

Nel rimarcare questi aspetti, quantomeno il GDPR ci ha dato dei punti di riferimento metodologici, indicando il percorso da seguire per l’auto-valutazione della liceità e adeguatezza dei trattamenti di dati personali che la tua azienda ritiene utile e necessario effettuare.

Questa metodologia si articola essenzialmente in tre passi:

  • L’analisi dei rischi ai sensi dell’art. 32 GDPR, indispensabile sempre e a monte di qualsiasi altra valutazione;
  • La valutazione di impatto privacy (DPIA) ai sensi dell’art. 35 GDPR, da effettuare dove dall’analisi dei rischi emergano circostanze particolari;
  • La richiesta consultazione preventiva del Garante Privacy ai sensi dell’art. 36 GDPR, da effettuare dove l’analisi dei rischi e la DPIA, con il loro corredo di misure per la riduzione del rischio, non siano in grado di escludere che permangano rischi rilevanti per l’interessato.

Cos’è una DPIA?

A questo punto, è necessario entrare nello specifico della DPIA. Ecco alcuni punti fondamentali:

  • La DPIA non è automaticamente necessaria;
  • La DPIA deve essere affrontata solo nel quadro di un processo di complessiva valutazione finalizzata a dimostrare l’accountability della tua azienda;
  • La DPIA deve essere articolata con la finalità di dimostrare che le misure sono adeguate alla riduzione del rischio, in modo da poter essere utile supporto rispetto alla scelta di non procedere a consultazione preventiva del Garante Privacy.

Come effettuare una DPIA?

Quali sono dunque i passaggi logici da seguire? Noi di Neostudio riteniamo che affrontare in modo agile ma preciso i seguenti punti sia utile non solo per dimostrare la conformità al GDPR ma anche per avere piena consapevolezza dei dati personali trattati e di come utilizzarli in modo redditizio per la propria azienda:

  • Un Registro dei trattamenti da utilizzare anche come cruscotto di controllo;
  • Un’analisi dei rischi che affronti tutti i trattamenti riportati nel Registro, in grado di evidenziare sulla base dell’art. 35 e delle Linee Guida del Garante, se esistono uno o più trattamenti per i quali è necessaria la DPIA, intesa come estensione dell’analisi dei rischi. Mentre quest’ultima affronta le principali vulnerabilità tecnico-informatiche e organizzative dividendole per categorie (es. sicurezza delle reti, crittografia database, back-up) e prevedendo per ognuna misure adeguate al livello di rischio, la DPIA deve essere effettuata identificando specifici scenari di rischio (ad esempio: “cosa succede se con le sue credenziali un utente visualizza i dati di un altro utente nel portale gestito dalla mia azienda?”) e dando articolate risposte sulle misure finalizzate a prevenire quello specifico scenario;
  • Una sintesi del percorso DPIA finalizzata, in tutti i casi possibili, ad escludere la necessità di una consultazione preventiva.

Noi professionisti di Neostudio abbiamo sviluppato una metodologia di consulenza GDPR consolidata in grado di guidarti in questo percorso e di produrre tutte le evidenze documentali al fine di dimostrare l’accountability di quanto fatto dalla propria azienda.