Ormai sappiamo un po’ tutti quanto sia importante la sicurezza dei dati personali. Ci possono essere pericoli di vario tipo e genere, nascosti anche in posti dove non si avrebbe mai pensato.
Chi possiede un’attività e tratta dati personali però, ha anche l’obbligo di rispettare il regolamento 2016/679, o meglio conosciuto come GDPR.
Quando la GDPR entrò in vigore nel 2018, portò con sé anche vari obblighi e uno di questi è la DPIA.
Mettiamo caso che un titolare che eroga servizi di formazione online debba decidere se concludere un accordo commerciale con un produttore che fa sistemi di riconoscimento biometrico, per poi integrarli nella piattaforma di formazione.
Prima di sottoscrivere un contratto e iniziare ad utilizzare questa tecnologia, il titolare dovrà fare una DPIA per vedere allo stato attuale il livello di rischio al quale sarebbero esposti i dati personali coinvolti nel trattamento (quindi chi partecipa ai corsi di formazione). Il tutto con lo scopo di essere in condizioni di assumere in modo responsabile i trattamenti, contenendo i rischi. Se non fosse possibile garantire al 100% la protezione dei dati, il titolare dovrà quindi non intraprendere queste nuove forme di trattamento.
MA FACCIAMO UN PASSO INDIETRO. CHE COS’È LA DPIA?
La DPIA, detta anche valutazione d’impatto, è una procedura prevista dall’articolo 35 del GDPR che ha il dovere di descrivere il trattamento dei dati per valutare la loro necessità e i relativi rischi, in questo modo si possono preparare misure idonee per affrontarli. Una DPIA può riguardare sia un singolo trattamento che più trattamenti.
Quando un trattamento comporta un elevato rischio per i diritti e la libertà delle persone interessate, magari a causa del continuo monitoraggio dei loro comportamenti o per un elevato numero di soggetti interessati, la GDPR obbliga i titolari a svolgere una valutazione di impatto prima di dare inizio al trattamento.
Possiamo dunque dire che la DPIA è uno strumento molto importante in termini di responsabilizzazione perché aiuta il titolare ad attestare di aver adottato le giuste misure di sicurezza e di garantire il rispetto delle prescrizioni. In poche parole, è una procedura che permette di valutare e dimostrare di essere conformi con la normativa sulla sicurezza dei dati personali.
La valutazione d’impatto è una responsabilità che spetta al titolare, che la monitora e poi la consulta con il responsabile della protezione dei dati (DPO).
Ci sono casi in cui la DPIA non è necessaria, ad esempio, quando non si presenta un rischio elevato per i diritti e la libertà delle persone, oppure quando si è stati sottoposti a verifica da parte di un’autorità di controllo prima dell’entrata in vigore della GDPR e non si hanno subito modifiche…ma anche se non obbligatoria, la valutazione d’impatto è consigliabile, in quanto attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri, inoltre, la DPIA permette la protezione dei dati fin dalla fase di progettazione.
Una buona DPIA non deve essere statica, ma in continuo movimento, rimanendo al passo con l’evoluzione di nuovi strumenti tecnologici e nuove modalità di trattamento. Non bisogna vedere la DPIA come un obbligo burocratico, ma semplicemente come un’opportunità per essere sempre in regola e mostrare alle persone che ci affidano i loro dati personali, che ci teniamo alla loro sicurezza.
Vuoi saperne di più in merito all’argomento? Scrivici e saremo lieti di fornirti le informazioni di cui hai bisogno.
#KIBSSTUDIO4ENTERPRISE
Il team marketing di Kibs Studio