Valutazione d'Impatto sulla Protezione dei Dati

Una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) è un processo richiesto dall'Articolo 35 del GDPR per valutare e mitigare i rischi delle attività di trattamento dei dati proposte che possono comportare un rischio elevato per i diritti e le libertà delle persone. Una DPIA è obbligatoria quando il trattamento comporta profilazione sistematica e estesa con effetti significativi, trattamento su larga scala di dati sensibili, o monitoraggio sistematico su larga scala di aree accessibili al pubblico (come la videosorveglianza). Le autorità di vigilanza possono anche pubblicare elenchi di ulteriori operazioni di trattamento che richiedono DPIA.

Una DPIA deve includere una descrizione sistematica delle operazioni di trattamento e delle loro finalità, una valutazione della necessità e proporzionalità del trattamento in relazione alle finalità, una valutazione dei rischi per i diritti e le libertà degli interessati, e le misure previste per affrontare tali rischi. Il parere del DPO deve essere richiesto durante il processo di DPIA. Se la valutazione rivela che il trattamento comporterebbe un rischio elevato che non può essere mitigato, l'organizzazione deve consultare l'autorità di vigilanza prima di procedere. Le DPIA devono essere riviste e aggiornate quando le operazioni di trattamento cambiano.