PRIVACY E TRASPARENZA

Valutazione d'impatto (privacy impact assessment)

Ulteriori caratteri della valutazione d'impatto

GLI INDICI TESTUALI DELLA VALUTAZIONE

  • RISCHIO - uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità;
  • DIRITTI E LIBERTÀ DELLE PERSONE FISICHE - l'espressione si riferisce principalmente ai diritti alla protezione dei dati e alla vita privata, ma include anche altri diritti fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione;
  • RISCHI ELEVATI - il GDPR riporta, all'art. 35, par. 3, alcuni esempi di casi nei quali un trattamento può presentare un rischio elevato e, pertanto, richiedere la valutazione d'impatto. L'elenco costituisce una mera esemplificazione e la necessità di una siffatta valutazione deve essere ponderata caso per caso. 

La valutazione d’impatto è richiesta in particolare nei seguenti casi:

 • valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, sulla quale si fondano decisioni che hanno effetti giuridici o incidono su dette persone fisiche;

 • trattamento su larga scala di dati sensibili e giudiziari;

 • sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

I RISCHI ELEVATI SECONDO IL WP29

Il WP29 ha elaborato Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato", nelle quali sono indicati nove criteri che il Titolare del trattamento può considerare per decidere se effettuare la valutazione d'impatto. Se il trattamento soddisfa due criteri, allora il Titolare deve considerare di fare una valutazione d’impatto. 

Il principio è che più criteri sono soddisfatti, maggiore è – astrattamente – il rischio per i diritti e le libertà dell’interessato. Nulla toglie che il Titolare ritenga di procedere alla valutazione anche in presenza di un solo criterio.

Nella stessa guida il WP29 introduce una serie di casi in presenza dei quali la valutazione d'impatto deve essere fatta e una serie di casi nei quali invece la valutazione è esclusa. Si sottolinea che si tratta di indicazioni di massima, dalle quali il Titolare può sempre discostarsi.

CONTENUTO DELLA VALUTAZIONE 

Il GDPR fissa all’art. 35, par. 7 il contenuto minimo della valutazione d’impatto. 

La valutazione d’impatto deve contenere:

  1. la descrizione dei trattamenti previsti e delle finalità del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati;
  4. le misure previste per affrontare i rischi.

PUBBLICAZIONE DELLA VALUTAZIONE

Il GDPR non stabilisce un obbligo di pubblicazione della valutazione d’impatto; si tratta di una decisione discrezionale del Titolare del trattamento. Il WP29 raccomanda comunque la pubblicazione almeno di alcune parti, ad esempio di una sintesi o della conclusione della valutazione, al fine di stimolare la fiducia nei confronti dei trattamenti effettuati dal Titolare.

CONSULTAZIONE DELL'AUTORITÀ DI CONTROLLO

Effettuata la valutazione d’impatto e predisposte le adeguate misure di sicurezza, se i rischi si considerano sufficientemente attenuati allora il trattamento può procedere senza la consultazione dell’autorità di controllo.

Se, viceversa, il Titolare non sia in grado di trovare misure sufficienti per ridurre i rischi a un livello accettabile (ossia i rischi restano comunque elevati) è necessario provocare l’intervento dell’autorità di controllo.

Oltre al caso appena descritto, è necessario invocare l’autorità di controllo ogniqualvolta ciò sia prescritto dal diritto dello Stato membro o sia richiesta una autorizzazione preliminare al trattamento (art. 36, GDPR).

SANZIONI

La mancata esecuzione della valutazione d’impatto quando essa è obbligatoria (art. 35, par. 1, 3 e 4), la sua esecuzione in maniera errata (art. 35, par. 2, da 7 a 9) o la mancata consultazione dell’autorità di controllo (art. 36, par. 3, lett. e) espongono alla sanzione amministrativa pecuniaria di importo massimo di Euro 10 milioni oppure pari al massimo al 2% del fatturato complessivo dell’anno precedente.

SOFTWARE PER LA REDAZIONE DELLA VALUTAZIONE

Si segnala che il Garante per la protezione dei dati personali ha collaborato all'adattamento italiano del software elaborato dall'Autorità francese. È possibile scaricare il software a questo indirizzo, avendo cura di lanciare l'installazione in lingua italiana.