Valutazione d’impatto

La valutazione d’impatto ha la funzione di potenziare il rispetto del GDPR da parte del titolare del trattamento quando i trattamenti presentano un rischio elevato per i diritti e le libertà delle persone fisiche.

Il titolare del trattamento deve tenere conto dell’esito della valutazione d’impatto nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il GDPR.

La valutazione di impatto deve avere ad oggetto:

  • le misure,
  • le garanzie,
  • i meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al GDPR.

Trattamenti per i quali il legislatore europeo impone l’obbligo della valutazione d’impatto prima del trattamento:

  1. a) i trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala,
  2. b) i trattamenti su larga scala di dati che, data la loro sensibilità, potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala,
  3. c) altri trattamenti di dati che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti,
  4. d) trattamenti effettuati per adottare decisioni riguardanti determinate persone fisiche in seguito a una valutazione sistematica e globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati, o in seguito al trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza.
  5. e) trattamenti per la sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante dispositivi optoelet­tronici
  1. f) altri trattamenti che l’autorità di controllo competente ritiene possano presentare un rischio elevato per i diritti e le libertà degli interessati, specialmente perché impediscono a questi ultimi di esercitare un diritto o di avvalersi di un servizio o di un contratto, oppure perché sono effettuati sistematicamente su larga scala.

La valutazione d’impatto è uno strumento a disposizione del titolare del trattamento che rientra nell’attuazione del principio di accountability, in quanto gli consente:

  1. di verificare in che misura le sue scelte corrispondono alle prescrizioni del GDPR;
  2. di attestare il suo rispetto delle disposizioni riguardanti l’adozione delle misure tecniche ed organizzative adeguate a garantire la sicurezza e la protezione dei dati personali.

In tal senso è auspicabile che la valutazione d’impatto sia effettuata per tutti i trattamenti e non solo per quelli per i quali è obbligatoria.

Per approfondimenti:

Accountability

Valutazione d’impatto sulla protezione dei dati (DPIA): quando è obbligatoria?

Torna in alto