Valutazione d’impatto

Cos'è la valutazione d'impatto?

La valutazione d'impatto o DPIA (Data Protection Impact Assesment) è una delle principali novità introdotte dal GDPR.

Si tratta di uno strumento di valutazione che consente al titolare di:

• effettuare un'attenta analisi dei rischi che possono insistere su determinati trattamenti;
• dimostrare, in ottica di accountability, il rispetto degli obblighi del regolamento.

Quando effettuare la DPIA

L’art. 35 del GDPR ti obbliga ad effettuare una DPIA tutte le volte in cui un trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche.

In questa valutazione devi considerare:

• l’uso di nuove tecnologie, come algoritmi che lavorano su grossi volumi di dati, intelligenza artificiale, blockchain, radiofrequenze o altro basato su dati biometrici ad esempio;
• la natura del trattamento compreso il contesto in cui viene effettuato;
• l’oggetto del trattamento e le finalità con cui viene fatto.
  

Insieme al concetto di rischio elevato ci sono anche altri criteri e strumenti che ti aiutano a circoscrivere l'ambito di applicazione della DPIA.

Stiamo parlando dei nove parametri dell'EDB (European Data Protection Board) e infine dell'elenco pubblicato dall'Autorità Garante che indica le tipologie di trattamento per le quali è sempre richiesta una valutazione d'impatto.

Come creare la valutazione con UTOPIA

Nel menù Impatto clicca il pulsante (+) e scegli il registro dei trattamenti di riferimento. Ora accedi alla sezione Valutazioni e inizia la redazione compilando i seguenti campi:

• ‍necessità: alcune domande, corredate da note esplicative, ti aiutano a valutare gli aspetti legati a necessità e proporzionalità dei trattamenti rispetto alle finalità;‍
• diritti: indica quali diritti sono garantiti agli interessati in merito ai trattamenti coinvolti nella valutazione come, ad esempio, il diritto di accesso, di informazione o di limitazione;
• ‍valutazione: in questa voce ti viene riportata, se presente, la valutazione effettuata all’interno del menù Trattamenti. In questo modo puoi sempre vedere il livello di rischio rilevato senza cambiare menù;
• ‍rischi: registra e analizza i rischi per gli interessati comprese le misure di sicurezza attuate o da attuare. Inizia cliccando il pulsante Aggiungi rischio e dopo aver inserito la descrizione, indica la fonte, l’impatto potenziale e i valori di probabilità e gravità in una scala di valori compresi fra 1 e 4. Per ogni rischio indichi quali misure di sicurezza sono state messe in atto aggiungendo anche i soggetti, tempistiche di attuazione ed, infine, il valore di riduzione del rischio potenziale;
• ‍interessati: raccogli in un unico punto le opinioni degli interessati in caso di loro consultazione;
• ‍revisioni: indica la data di prossima revisione in modo che UTOPIA ti ricordi di procedere ad una rivalutazione. Ricorda che il regolamento Europeo consiglia di effettuare nuovamente una valutazione quando il profilo di rischio subisce variazioni;
• ‍conclusioni: puoi inserire le valutazioni conclusive sulla valutazione e il parere del DPO nel caso sia presente.
  

Dopo aver terminato la valutazione puoi esportarla con un click in formato Word (.docx) o CSV (Valori Separati da Virgola) a seconda delle tue esigenze.

Infine, come indicato dall’art. 35 del regolamento, puoi accorpare trattamenti simili, che presentano fra loro rischi elevati, ed effettuare un’unica valutazione.