DPIA e registro dei trattamenti: metodologie per l’analisi sistematica del rischio di tutti i trattamenti

Fonte: CyberSecurity360

Le problematiche legate alla Data Protection Impact Assestment (DPIA), che si è da subito dimostrato un adempimento complesso, hanno principalmente riguardato l’individuazione dei trattamenti da sottoporre alla stessa.

La risposta al quesito del “quando” procedere alla valutazione d’impatto ha gettato dubbi sui titolari, che seppur con la collaborazione dei DPO, si sono ritrovati con la responsabilità della redazione della DPIA. In questo contesto di incertezze si sono resi necessari degli interventi chiarificatori sia a livello europeo che a livello nazionale.

Il primo riferimento va infatti alle linee guida licenziate dall’ex WP29 ad aprile 2017, contenenti nove coordinate specifiche per individuare le categorie dei trattamenti da sottoporre alla valutazione d’impatto, così come prescritta dall’art.35 del GDPR.

Si sono successivamente aggiunte, dopo essere state condivise con l’EDPB, anche le indicazioni del Garante italiano, contenute nell’Allegato al provvedimento numero 467 del 2018.

Entrambi i documenti hanno come scopo quello di specificare e puntualizzare quanto contenuto nel regolamento europeo, indicando sia quando effettuare la DPIA sia quando quest’ultima non è invece necessaria.

Va ricordato che gli interventi di cui sopra, pur di sicuro valore esplicativo, non sono esaustivi e, pertanto, non racchiudono al loro interno tutte le tipologie di trattamento rispetto alle quali andrebbe effettuata la valutazione d’impatto. Continua a leggere