La Valutazione del rischio all’interno della Data Protection Impact Assessment

Il 25 maggio 2018, con l’entrata in vigore del nuovo Regolamento Europeo sulla protezione dei dati personali 2016/679 (c.d. GDPR), ha assunto particolare importanza la valutazione dell’impatto dei fattori di rischio nei molteplici contesti di trattamento (art. 35 GDPR). Tale valutazione risulta essenziale per poter dimostrare che il Titolare del Trattamento abbia posto in essere misure tecnico-organizzative adeguate al fine di ridurre i rischi intrinsechi alle attività che coinvolgono dati personali.

Con tale strumento, inoltre, il Legislatore Europeo ha sostituito, nella maggioranza dei casi previsti, il vecchio obbligo di notifica all’Autorità Garante. Tale obbligo permane qualora la valutazione residua del rischio da trattamento dei dati, per la Dignità e le Libertà personali dei soggetti interessati emergente dalla DPIA, risulti ancora elevato, malgrado le attività di mitigazione poste in essere.

Pertanto, il cuore di una qualsiasi Data Protection Impact Assessment (c.d. DPIA o Valutazione d’Impatto) è proprio la valutazione quali-quantitativa del rischio (Art. 35 par. 7 lett. C e D). In quest’articolo cercheremo di fornire delle linee guida generali proprio per la stesura di una valutazione del rischio da trattamento dei dati che consenta la determinazione del Rischio Residuo (Rr) in modo quanto più possibile oggettivo ed ancorato a solidi standard di riferimento, anche internazionali.

Andrea Paro - Delegato Provinciale Treviso Federprivacy, Consulente Privacy, approfondisce nel suo articolo questi temi.

Il link per leggere il testo (prima parte)