Chi ha paura della DPIA? L’applicazione della valutazione di impatto attraverso un caso concreto

Sono molte le fonti in rete che ne descrivono le caratteristiche e le regole per una corretta applicazione, ma la valutazione d’impatto, o Data Protection Impact Assessment (DPIA), prevista dall’Art. 35 del GDPR, è ancora spesso vista come un’attività troppo onerosa, impegnativa, o difficile da applicare.

Insomma, nonostante l’importanza di questo processo, che consente di (e costringe ad) applicare concretamente i principi di responsabilizzazione, privacy-by-design e by-default, sicurezza del dato, approccio basato sul rischio, e coinvolgimento di tutti i soggetti attivi in un trattamento, la DPIA appare ancora come uno “spauracchio” per molti titolari del trattamento.

Così, chi è abbastanza sapiente da non nascondere la testa sotto la sabbia, spesso preferisce comunque impiegarsi in articolate spiegazioni pur di dimostrare di non essere soggetto all’obbligo, invece che investire le stesse risorse per avviare il processo di valutazione.

La tendenza a evitare l’esercizio della valutazione d’impatto potrebbe essere talvolta motivata dalla complessità a reperire tutte le informazioni necessarie (operazione che spesso richiede un equilibrato coordinamento di varie funzioni con conoscenze e competenze diverse tra loro), dalla mancanza di una ben precisa linea su come strutturare tali informazioni (e ciò nonostante gli svariati utili strumenti messi a disposizione dalle Autorità garanti europee), ma anche dal mancato accesso a “fonti di ispirazione” o esempi pratici di svolgimento.

Facebook
Twitter
LinkedIn
WhatsApp
L’Avvocato Alessandra Delli Ponti si occupa di tematiche privacy e nuove tecnologie da quasi vent’anni supportando aziende e strutture sanitarie private nei necessari passaggi

Vuoi ricevere la newsletter informativa dello studio legale Stefanelli&Stefanelli?