Valutazione d’impatto per il GDPR: come e quando farla
I Garanti europei hanno fornito le linee guida per svolgere la valutazione d’impatto, nota anche come Data Protection Impact Assessment.
Valutare a priori le conseguenze di una violazione della protezione dei dati. Questo è quello che il nuovo Regolamento Generale (GDPR) richiede alle aziende, come si legge nel paragrafo 3 dell’articolo 35. Tuttavia, fino ad oggi mancava un’indicazione chiara su come svolgere tale analisi, dal momento che venivano indicati solo gli elementi da esaminare.
Il gruppo dei Garanti, però, ha rilasciato una serie di indicazioni per aiutare i titolari. Innanzitutto, ogni caso dovrà essere esaminato con un approccio “risk-based”, ossia con l’intento di definire l’origine, il tipo, l’entità dei rischi, l’applicazione, il contesto e lo scopo del trattamento dei dati. Perciò, non andrà valutata solo la pericolosità per le persone, ma anche il grado di vulnerabilità delle tecnologie impiegate.
In un’analisi, i titolari dovranno quindi capire il rischio legato al dato, la sua diffusione pubblica, il suo trattamento insieme ad altri dati e il grado di comunicazione. Nel caso in cui il rischio dovesse essere troppo elevato per poter venir contenuto con mezzi e costi ragionevoli, allora sarà necessario consultare preventivamente gli enti di controllo.
Quando è obbligatoria la valutazione?
Nel testo redatto dal Gruppo di lavoro è presente una lista di operazioni in cui l’analisi è obbligatoria: il trattamento di dati genetici o sanitari in un ospedale, la video sorveglianza per il comportamento in autostrada e il monitoraggio delle postazioni di lavoro dei dipendenti sono alcuni esempi.
Sono poi presenti anche i casi in cui la valutazione non è obbligatoria, come le situazioni in cui il rischio non è elevato, il trattamento sia già stato autorizzato o sia legittimato dal diritto dell’UE o di uno stato membro. Alcuni esempi possono essere il trattamento di dati personali di pazienti da parte di un medico individuale o di un avvocato, così come l’utilizzo di una mailing list da parte di una rivista per l’invio del sommario del giorno.
Infine, anche se il GDPR sarà in vigore e applicabile dal 25 maggio 2018, i Garanti suggeriscono di effettuare le valutazioni per i trattamenti già attivi anche prima di questa data.