Cos’è una valutazione d'impatto sulla protezione dei dati (DPIA)?
In concreto, una procedura per la valutazione d'impatto sulla protezione dei dati non è altro che un’analisi strutturata dei rischi. L’obiettivo è far sì che i responsabili considerino e abbiano ben presenti i possibili rischi del trattamento dei dati.
Quando effettuare una valutazione d’impatto?
Secondo la legge è obbligatorio eseguire una valutazione d’impatto sulla protezione dei dati se il loro trattamento comporta un rischio elevato per la personalità o i diritti fondamentali delle persone interessate. In particolare il rischio può essere maggiore con l’impiego di nuove tecnologie, se si elaborano diversi dati degni di particolare protezione o si monitorano sistematicamente settori pubblici.
Come definire una valutazione d’impatto?
In linea generale ci sono diversi modi per elaborare una valutazione d’impatto sulla protezione dei dati, anche a seconda delle dimensioni della tua azienda. In ogni caso è importante effettuare dapprima un’analisi dei rischi per la protezione dei dati e riflettere quindi sulla gestione del pericolo specifico. Nel corso dell’analisi ti invitiamo a considerare gli aspetti elencati qui di seguito.
- Identifica tutti i rischi connessi alla protezione dei dati che potrebbero presentarsi nel processo di elaborazione in questione.
- Analizza i rischi e inseriscili nella tabella, stimando il potenziale di danno e la probabilità che si verifichi effettivamente un sinistro.
- Procedi alla valutazione del rischio.
Una volta completata la procedura, rifletti su come intervenire a fronte di tali rischi. A questo punto si prospettano le possibilità qui elencate.
- Puoi evitare il rischio rinunciando alle attività connesse al pericolo.
- Puoi trasferire il rischio a un’azienda partner, ad esempio a un’assicurazione o a un’impresa a cui esternalizzare l’operazione.
- Puoi minimizzare il rischio riducendo il potenziale di danno o la probabilità che il sinistro si verifichi attraverso misure collaterali.
Se dalla valutazione d'impatto sulla protezione dei dati emerge che, nonostante le misure previste, il trattamento in questione potrebbe comportare un rischio elevato per la personalità o per i diritti fondamentali della persona interessata, è necessario interpellare preventivamente l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
È comunque possibile rinunciare a una valutazione d'impatto sulla protezione dei dati se si utilizza un sistema, un prodotto o un servizio certificato per l’uso previsto da un ente apposito, indipendente e riconosciuto.
Anche i membri di un’associazione professionale, economica o di categoria possono astenersi da una valutazione d'impatto di questo tipo se l’organizzazione stessa ha redatto un codice di comportamento e lo ha sottoposto all’IFPDT.
Importante
Con la valutazione d’impatto il lavoro non è ancora finito: dovrai infatti garantire che l’attività venga effettivamente svolta come pianificato. Dovrai inoltre riesaminare la tua valutazione d’impatto a intervalli regolari, così da assicurarti che, anche a fronte di condizioni diverse, possa intervenire in tempi brevi e in maniera adeguata. L’intero processo andrebbe infine documentato, per poter dimostrare, in caso di necessità, i passi intrapresi.
Altri consigli legali e modelli in materia di protezione dei dati
• I 12 punti principali da osservare
• Articolo successivo: come analizzare i contratti con i subappaltatori in materia di sicurezza dei dati e integrazione di apposite clausole
• Panoramica di tutti i consigli legali