Valutazione d'impatto sulla protezione dei dati (DPIA)
DPIA per trattamenti ad alto rischio: dati sanitari, profilazione, sistemi automatizzati, biometria, videosorveglianza su larga scala.
01
Quando è obbligatoria una DPIA
La DPIA (Data Protection Impact Assessment) è obbligatoria quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone. Il Garante italiano ha pubblicato un elenco di casi in cui è sempre obbligatoria: trattamenti su larga scala di dati sanitari, sistemi di profilazione automatizzata, biometria, videosorveglianza estesa, monitoraggio sistematico di aree pubbliche, dati di minori in contesti scolastici, sistemi di intelligenza artificiale che incidono sulla persona.
02
Metodologia
Utilizziamo la metodologia delle linee guida WP248 del Gruppo articolo 29: descrizione sistematica del trattamento, valutazione della necessità e proporzionalità, identificazione dei rischi per gli interessati, misure di mitigazione adottate o da adottare, consultazione del DPO se nominato.
03
Output utilizzabile
Il documento DPIA è strutturato per essere subito presentato al Garante se richiesto e per essere aggiornato nel tempo. Include una matrice di rischio dettagliata, un piano di mitigazione con responsabili e scadenze, un giudizio motivato sulla residualità del rischio post-mitigazione.
04
Aggiornamento e mantenimento
La DPIA va aggiornata quando cambia significativamente il trattamento o quando si introducono nuove tecnologie. La manteniamo nel tempo come parte del sistema di gestione privacy.
Altri servizi privacy
Art. 13 / 14 GDPR
Redazione informative privacy GDPR
Informative privacy conformi al GDPR per ogni punto di raccolta dati: sito web, form, contratti, dipendenti, marketing, videosorveglianza.
Art. 30 GDPR
Registro dei trattamenti GDPR
Il Registro delle attività di trattamento è il documento centrale del sistema privacy. Lo costruiamo, lo manteniamo, lo aggiorniamo con cadenza periodica.
Art. 28 GDPR
Nomine Responsabili esterni del trattamento (DPA)
Contratti di nomina a Responsabile del trattamento (DPA – Data Processing Agreement) per fornitori che trattano dati personali per tuo conto.