vademecum

DPIA in azienda, come si fa: la guida completa per le imprese

Home Sicurezza digitale Privacy
Indirizzo copiato

Passo per passo tutte le indicazioni per redigere il documento della valutazione di impatto – DPIA, fondamentale per la data protection aziendale: ecco le istruzioni e un esempio pratico dedicato alla videosorveglianza nelle imprese

Pubblicato il 15 dic 2023
Lorenzo Giannini

Consulente legale privacy e DPO

Looking,At,European,Union,Gdpr,Bits,And,Bytes,Through,Magnifying

Lo svolgimento di una valutazione d’impatto – DPIA, prevista dall’articolo 35 del GDPR, è richiesto obbligatoriamente in presenza di determinate tipologie di trattamento. Vediamo come procedere passo per passo nel contesto aziendale.

Ricordiamo che la valutazione d’impatto (DPIA – Data Protection Impact Assessment) rappresenta uno tra i principali adempimenti richiesti dal GDPR e consiste in un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a gestire i rischi per i diritti e le libertà degli interessati derivanti dal trattamento dei dati personali, attraverso una loro valutazione e l’individuazione delle misure per affrontarli e attenuarli.

www.agendadigitale.eu/sicurezza/videosorveglianza-in-azienda-come-chiedere-lautorizzazione-allispettorato-del-lavoro/

Quando la DPIA è un obbligo per le aziende

Partiamo, innanzitutto, dall’individuazione dei casi in cui lo svolgimento di una valutazione d’impatto è prevista come obbligatoria per l’azienda.

L’articolo 35 GDPR, al suo primo comma individua una regola generale e, al terzo comma, tre casistiche più specifiche.

Secondo la regola generale, “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.

Successivamente, il terzo comma dell’art. 35 individua le seguenti ulteriori ipotesi:

  • Trattamenti che consistono in una “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”;
  • Trattamenti, “su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10 GDPR”;
  • Trattamenti consistenti in una “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

Cosa dicono le autorità

Le seguenti regole sono state oggetto di un prezioso approfondimento, anche sotto il profilo della relativa interpretazione terminologica, all’interno delle Linee guida sulla valutazione d’impatto da parte del Gruppo di lavoro articolo 29 sulla protezione dei dati (WP29)[1], alle quali, per ragioni di sintesi, si rinvia.

Ancor più utile si è rivelato, nell’ottobre del 2018, l’intervento dell’Autorità Garante privacy italiana con il provvedimento n. 467 [doc. web n. 9058979], all’interno del quale viene individuato un elenco di dodici tipologie di trattamenti che, se e laddove presenti, devono preventivamente essere sottoposti a valutazione d’impatto.

Non potendo in questa sede approfondire tutti i trattamenti in elenco, si ricordano – a mero titolo esemplificativo – i trattamenti valutativi o di scoring su larga scala, nonché i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (compresa videosorveglianza e geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti; i trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, etc.), quelli relativi a dati biometrici o effettuati attraverso l’uso di tecnologie innovative (es. IoT, intelligenza artificiale, etc.).

Nelle casistiche non ricomprese nell’elenco, ovvero laddove la valutazione d’impatto non sia obbligatoria, in ottica di accountability (cfr. art. 24 GDPR) il titolare dovrebbe comunque valutare l’opportunità e riflettere sull’importanza di sottoporre a preventiva valutazione dei rischi i processi e le attività di trattamento di dati personali da lui svolte, anche in ragione dell’approccio basato sul rischio (c.d. risk based approach) che deve orientare la condotta del titolare del trattamento.

Come redigere il documento DPIA passo per passo

Per quanto, senza dubbio, nella valutazione d’impatto è forte una componente formale, è opportuno che il documento venga redatto su una base sostanziale, anche al fine di perseguire lo scopo di tale adempimento.

Non avrebbe, infatti, alcun senso – soprattutto alla luce dello spirito della norma – circoscrivere lo svolgimento della valutazione d’impatto a un’attività di mera “paper compliance”. Al contrario, l’obiettivo è quello di effettuare una preventiva gestione dei rischi per i diritti e le libertà delle persone fisiche[2] e, se opportuno, individuare le necessarie contromisure per abbassare il rischio a un livello che possa ritenersi – secondo l’autovalutazione del titolare – sufficientemente basso e consentire, dunque, l’avvio del trattamento.

Come indicato nel Considerando 84 GDPR, pertanto, “l’esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare” e, laddove il rischio non possa essere attenuato fino a un livello accettabile mediante l’adozione delle contromisure individuate dal titolare, quest’ultimo “dovrebbe consultare l’autorità di controllo” (cfr. “consultazione preventiva”, art. 3 GDPR).

Pertanto, “indipendentemente dalla sua forma, una valutazione d’impatto sulla protezione dei dati deve essere una vera e propria valutazione dei rischi che consenta ai titolari del trattamento di adottare misure per affrontarli”[3].

Passaggi chiave per una DPIA efficace

È lo stesso regolamento europeo a individuare il contenuto minimo della valutazione d’impatto, che deve includere almeno i seguenti elementi:

  • Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;
  • Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • Una valutazione dei rischi per i diritti e le libertà degli interessati;
  • Le misure previste per affrontare i rischi e dimostrare la compliance normativa.

Step 1 – La descrizione delle attività

Occorre, pertanto, partire dalla descrizione delle attività di trattamento che saranno svolte e dalle relative finalità.

Step 2 – La valutazione dei trattamenti e dei rischi

Bisogna poi procedere a una valutazione tanto della necessità e proporzionalità dei trattamenti quanto, soprattutto, alla centrale valutazione dei rischi per i diritti e le libertà degli interessati, tenendo in debita considerazione la particolare probabilità e gravità di questi ultimi.

Step 3 – Individuare le misure di sicurezza

Successivamente, al fine di attenuare detti rischi, il titolare deve individuare le opportune misure tecniche e organizzative di sicurezza.

Da sottolineare come, talvolta, risulti necessario ripetere le singole fasi della valutazione man mano che il processo di sviluppo evolve, dato che la selezione di determinate misure di sicurezza può condizionare il livello di probabilità o gravità dei rischi posti dal trattamento. Come ricordano le linee guida[4], “realizzare una valutazione d’impatto sulla protezione dei dati è un processo continuo, non un esercizio una tantum”.

Strumenti e risorse utili per la DPIA

Premesso come spetti al titolare del trattamento la responsabilità di assicurare che la valutazione d’impatto venga eseguita, quest’ultimo può essere affiancato da diversi soggetti.

In primo luogo, laddove ne sia stato nominato uno, il titolare deve consultarsi con il responsabile della protezione dei dati (DPO): tra i compiti che tale figura è chiamata a svolgere l’art. 39 del regolamento europeo include anche quello di fornire un parere in merito alla valutazione d’impatto, nonché di sorvegliare lo svolgimento della stessa (art. 39, comma 1. lett. c), GDPR).

Nell’ipotesi in cui il trattamento venga eseguito in tutto o in parte per conto del titolare da parte di un responsabile nominato ex art. 28 GDPR, quest’ultimo è chiamato ad assistere il titolare nell’esecuzione della DPIA, nonché a fornire tutte le informazioni necessarie (art. 28, comma 3, lett. f), GDPR).

Inoltre, come previsto al comma nove dell’art. 35, “se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto”, ad esempio attraverso uno studio generico relativo alla finalità e ai mezzi del trattamento o una domanda posta ai rappresentanti del personale.

Infine, sotto il profilo informatico, è senz’altro buona prassi ricorrere al contributo e all’assistenza dell’amministratore di sistema o di altri consulenti in ambito di sicurezza informatica.

Best practice per la valutazione di impatto sulla protezione dei dati

Le citate linee guida sulla valutazione d’impatto forniscono, al paragrafo IV, le seguenti utili raccomandazioni:

  • Stabilire una metodologia per la valutazione d’impatto sulla protezione dei dati che soddisfi i criteri di cui all’allegato 2 delle linee guida;
  • Fornire la relazione relativa alla valutazione d’impatto sulla protezione dei dati all’Autorità di controllo, laddove venga richiesto al titolare di procedere in tal senso;
  • Consultare l’Autorità di controllo attraverso il citato meccanismo della “consultazione preventiva” ex art. 36 GDPR, qualora il titolare del trattamento non sia riuscito a determinare misure sufficienti per attenuare i rischi elevati;
  • Riesaminare periodicamente la valutazione d’impatto sulla protezione dei dati e il trattamento che essa valuta, almeno quando si registra una variazione del rischio;
  • Documentare le decisioni prese, nel pieno rispetto del principio di accountability di cui all’art. 24 GDPR.

Case study: DPIA sul sistema di videosorveglianza aziendale

Volendo prendere in esame un caso concreto, consideriamo l’ipotesi di un’azienda che intende installare un sistema di videosorveglianza nei suoi locali al fine di tutelare il patrimonio aziendale.

Come visto, i trattamenti di dati personali collegati a tale attività sono certamente da sottoporre a valutazione d’impatto, in quanto ricompresi nell’elenco di cui all’Allegato 1 al provvedimento n. 47 del Garante privacy (cfr. nello specifico, la tipologia di trattamento n. 5). Prima dell’avvio dei trattamenti, pertanto, il titolare è tenuto a provvedervi.

Lo svolgimento della valutazione deve seguire lo schema di processo iterativo[5] (figura 1) che prende avvio con la descrizione del trattamento previsto (es. rappresentazione dei trattamenti come mera visualizzazione in real time o registrazione e conservazione delle immagini, etc.).

Figura 1

In secondo luogo, occorre procedere alla vera e propria valutazione circa la necessità e proporzionalità del trattamento (ossia valutare se il sistema di videosorveglianza sia strumento necessario e proporzionato in relazione alle finalità di sicurezza), nonché dei rischi per diritti e libertà, seguita – rispettivamente – dalla descrizione delle misure previste per dimostrare la conformità e di quelle individuate per affrontare (e mitigare) i rischi a un livello da ritenersi accettabile.

Sotto questo profilo, occorre indicare le misure sia sotto il profilo tecnico (es. modalità di archiviazione delle registrazioni, impostazione di corrette modalità di ripresa, etc.) – richiedendo, se opportuno, il supporto da parte del produttore delle componenti dell’impianto, nonché del tecnico manutentore – che sotto quello organizzativo (presenza di idonea cartellonistica e di informative ex art. 13 GDPR sulla videosorveglianza, previsione di corretti tempi di conservazione delle registrazioni, formalizzazione di nomine interne e/o esterne per i soggetti preposti alla visualizzazione delle immagini e delle relative registrazioni, etc.).

Tutto ciò deve risultare documentato, tanto al fine di consentire al titolare di dimostrare l’effettivo svolgimento della valutazione d’impatto, quanto nel rispetto del principio di accountability di cui all’art. 24 GDPR.

Tale procedura dovrà poi essere riesaminata periodicamente, al fine di adeguarla rispetto all’eventuale mutamento del livello di rischio o agli aggiornamenti dell’impianto (es. estensione del numero di telecamere o modifica delle componenti dell’impianto).

Note

[1] Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2019/679 (WP 248 REV.01).

[2] Cfr. par III delle Linee guida sulla valutazione d’impatto.

[3] Ibidem.

[4] Ibidem.

[5] Cfr. par III delle Linee guida sulla valutazione d’impatto.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video & Podcast
Social
Iniziative
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Scenari
Il quadro economico del Sud: tra segnali di crescita e nuove sfide
Sostenibilità
Lioni Borgo 4.0: un passo verso la città del futuro tra innovazione e sostenibilità
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Meta AI, perché la notifica sui dati è cambio di paradigma privacy