Avv. Andrea Baldrati +39 340 4895530 Avv. Armando Strinati +39 333 5247665

VALUTAZIONE DI IMPATTO PRIVACY: quando va fatta?

La valutazione di impatto prevista dall’art. 35 del GDPR (Reg. Ue 679/16) è la massima espressione del principio di accountability perchè pone in capo al titolare la gestione del rischio privacy.

Si può definire come un processo di controllo grazie al quale il titolare esamina una propria attività di trattamento di dati personali (es. attività di marketing con profilazione degli utenti), allo scopo di individuare carenze o punti critici che potrebbero costituire la fonte di un richio “per i diritti e le libertà delle persone fisiche” (c.d. rischio privacy).
All’esito di questa indagine “diagnostica”, si predispone un Action Plan, cioè una sorta di report con cui vengono indicate le misure tecniche e organizzative che si intende adottare per attenuare quel rischio.

In definitiva, la valutazione di impatto (nel gergo, anche DPIA, acronimo di “Data Protection Impact Assessment”) è uno strumento che aiuta il titolare nell’arduo compito di valutare se il livello di rischio residuo sia accettabile o meno, tenuto conto delle misure adottate o che si intende adottare per quel tipo di trattamento.

Va fatta però una precisazione: essa viene richiesta soltanto nel caso in cui il rischio sia “elevato”, in ragione della probabilità e gravità del danno potenziale inerente al tipo di trattamento che si vuole effettuare.

La questione è molto delicata.

Pertanto, in casi limite (esempio: trattamento di dati a rischio medio-alto) o laddove risulti complicato stabilire l’esatto livello di rischio (esempio: viene introdotta una nuova tecnologia e non se ne conoscono le implicazioni in ambito privacy), il consiglio è quello di eseguire sempre la DPIA, per scongiurare l’ipotesi di una sanzione pecuniaria, il cui importo sarebbe di certo maggiore rispetto a quello dovuto a titolo di compenso a favore di consulenti e/o professionisti (il Regolamento indica alternativamente la sanzione massima di € 10 milioni o pari al 2% del fatturato annuo, a seconda di quale sia, fra i due, l’importo superiore).