loader image

VALUTAZIONE DI IMPATTO PRIVACY: quando va fatta?

Consulenza d’Impresa

La valutazione di impatto prevista dall’art. 35 del GDPR (Reg. Ue 679/16) è la massima espressione del principio di accountability perchè pone in capo al titolare la gestione del rischio privacy.

Si può definire come un processo di controllo grazie al quale il titolare esamina una propria attività di trattamento di dati personali (es. attività di marketing con profilazione degli utenti), allo scopo di individuare carenze o punti critici che potrebbero costituire la fonte di un richio “per i diritti e le libertà delle persone fisiche” (c.d. rischio privacy).
All’esito di questa indagine “diagnostica”, si predispone un Action Plan, cioè una sorta di report con cui vengono indicate le misure tecniche e organizzative che si intende adottare per attenuare quel rischio.

In definitiva, la valutazione di impatto (nel gergo, anche DPIA, acronimo di “Data Protection Impact Assessment”) è uno strumento che aiuta il titolare nell’arduo compito di valutare se il livello di rischio residuo sia accettabile o meno, tenuto conto delle misure adottate o che si intende adottare per quel tipo di trattamento.

Va fatta però una precisazione: essa viene richiesta soltanto nel caso in cui il rischio sia “elevato”, in ragione della probabilità e gravità del danno potenziale inerente al tipo di trattamento che si vuole effettuare.

La questione è molto delicata.

  • Da una parte, redigere una valutazione di impatto è un onere piuttosto dispendioso per il titolare, sia in termini di tempo che di costi. Dovrà essere interpellato il DPO, se è stato nominato, oltre allo staff legale e IT dell’azienda; in assenza di queste figure, sarà importante affidarsi a consulenti esterni specializzati.
  • Dall’altra, il Regolamento prevede sanzioni molto salate per il titolare che: 1) non abbia eseguito tale adempimento; 2) o che lo abbia eseguito in maniera errata; 3) oltre all’ipotesi di violazione per mancata consultazione dell’autorità di controllo (il Garante Privacy).

Pertanto, in casi limite (esempio: trattamento di dati a rischio medio-alto) o laddove risulti complicato stabilire l’esatto livello di rischio (esempio: viene introdotta una nuova tecnologia e non se ne conoscono le implicazioni in ambito privacy), il consiglio è quello di eseguire sempre la DPIA, per scongiurare l’ipotesi di una sanzione pecuniaria, il cui importo sarebbe di certo maggiore rispetto a quello dovuto a titolo di compenso a favore di consulenti e/o professionisti (il Regolamento indica alternativamente la sanzione massima di € 10 milioni o pari al 2% del fatturato annuo, a seconda di quale sia, fra i due, l’importo superiore).

Articoli recenti

Sistema di Vendita Piramidale: Starlife multata da AGCM

Sistema di Vendita Piramidale: Starlife multata da AGCM

Il caso Starlife: sistema di Vendita Piramidale al bando e multa di 850.000 Euro  Ancora una volta, l’AGCM (l’Autorità Garante della Concorrenza e del Mercato) ha affrontato un caso di Sistema di Vendita Piramidale (LINK PROVVEDIMENTO), la cui diffusione non sembra...

leggi tutto

Scopri anche

Il nostro magazine di approfondimento che racconta i nuovi scenari del diritto applicato al mondo digitale ed alle nuove tecnologie.

Vorresti una consulenza legale?

Programma la tua Videocall

Vorresti approfondire ?

Contattaci 

Tipologia