Home » DPIA

DPIA

Valutazione d’impatto preliminare

Al fine di limitare l’assunzione dei rischi che possano ledere i diritti e le libertà degli interessati, il titolare del trattamento effettua, una DPIA, ovvero un’autovalutazione preliminare di impatto sulla protezione dei dati personali.

La DPIA (acronimo di Data Protection Impact Assessment) rappresenta un’autovalutazione preliminare di impatto sulla protezione dei dati personali.

E' ,quindi, lo strumento che permette al titolare del trattamento di tracciare il rischio assunto nella gestione del trattamento stesso, determinando le misure idonee a mitigarlo, e ciò in linea con il nuovo approccio di protezione dei dati personali basato sulla responsabilizzazione (cd. principio di Accountability).

L’articolo 35 del GDPR chiarisce che vi è la possibilità di svolgere una singola DPIA per far fronte a più trattamenti simili tra loro in termini di rischi purché siano adeguatamente considerate natura, portata, contesto e finalità del trattamento, ancor quando gestiti da titolari distinti.

Da quanto sopra si evince chiaramente che la redazione della DPIA rappresenta un’attività continuativa e non un esercizio da svolgere una tantum.
È importante quindi, che l’attività di descrizione dei trattamenti previsti e delle finalità del trattamento sia corredata di attenta analisi delle risorse, sulle quali si basano i dati personali (ovvero hardware, software, reti, persone o canali di trasmissione in genere) e i rischi connessi, al fine di agevolare l’individuazione delle misure di sicurezza e garantire l'osservanza al Regolamento.

Coerentemente a quanto sopra, occorre individuare, per ciascuno rischio le vulnerabilità, ovvero le fonti di rischio, le minacce che potrebbero determinare la violazione, la probabilità e la gravità dell’eventuale violazione.

Per ciascun rischio individuato occorre definire un piano di trattamento con la mappatura delle “contromisure” adottate o in programma, calendarizzando le date di verifica.