dpia: cosa prevede il regolamento
linee guida wp 248 sulla pia


Il regolamento impone ai titolari di mettere in atto misure idonee a garantire ed essere in grado di dimostrare l’osservanza del regolamento stesso, tenendo conto, fra gli altri, dei “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” (art. 24, paragrafo 1). L’obbligo di condurre una DPIA, in determinate circostanze, deve essere collocato nel contesto del più generale obbligo imposto ai titolari di gestire correttamente i rischi connessi al trattamento di dati personali.

Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità. D’altro canto, la “gestione del rischio” è definibile come l’insieme coordinato delle attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio.

L’art. 35 del regolamento menziona la probabilità di un rischio elevato “per i diritti e le libertà delle persone fisiche”.

Come già chiarito dal Gruppo di lavoro “Articolo 29” nella “Dichiarazione” sul ruolo di un approccio basato sul rischio nel contesto giuridico della protezione dei dati, il riferimento ai “diritti e le libertà” degli interessati va inteso in primo luogo come relativo al diritto alla privacy, ma può riguardare anche altri diritti fondamentali quali la libertà di espressione e di pensiero, la libertà di movimento, il divieto di discriminazioni, il diritto alla libertà di coscienza e di religione.

Coerentemente con l’approccio basato sul rischio che informa il regolamento, non è obbligatorio condurre una DPIA per ogni singolo trattamento. Viceversa, la DPIA è obbligatoria solo se una determinata tipologia di trattamenti “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, paragrafo 1). Tuttavia, la semplice circostanza per cui non siano soddisfatte le condizioni che generano un obbligo di condurre la DPIA non riduce in alcun modo l’obbligo più generale cui soggiacciono i titolari di mettere in atto misure finalizzate a gestire in modo idoneo i rischi per i diritti e le libertà degli interessati. Nella pratica, ciò significa che i titolari devono valutare in modo continuativo i rischi creati dai propri trattamenti così da individuare quelle situazioni in cui una determinata tipologia di trattamenti “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.



Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni

Non condivideremo mai la tua email con nessuno.