La valutazione d’impatto sulla protezione dei dati (dall’acronimo inglese, DPIA) non è un documento: è un processo che deve concludersi con una documento.
Il contenuto minimo, previsto dalla norma, del documento conclusivo della DPIA è il seguente
|
La descrizione sistematica dei trattamenti, delle finalità del trattamento e della base giuridica che li rende leciti |
|
La valutazione della necessità e proporzionalità dei trattamenti rispetto alle finalità del trattamento |
|
La valutazione dei rischi per i diritti e le libertà degli interessati (distruzione, perdita, modifica, divulgazione non autorizzata, accesso non autorizzato) |
|
Le misure di sicurezza adottate (o che si intendono adottare) per limitare i rischi |
La DPIA richiede professionalità specifiche e deve essere condotta dal titolare o dal responsabile del trattamento con il supporto di un team interdisciplinare e la consultazione del Data Protection Officer.
Se la DPIA dovesse stabilire che un particolare trattamento ha un rischio residuo elevato, il titolare può scegliere tra due opzioni:
-
non avviare il trattamento;
-
consultare formalmente il Garante per la Protezione dei Dati Personali per ottenere un parere.