Valutazione del rischio e DPIA

Valutazione del rischio e DPIA due attività diverse troppo spesso gestite come se fossero la stessa cosa.

Uno degli adempimenti previsti dal GDPR è costituito dalla valutazione del livello di sicurezza del trattamento ai sensi dell’Art 32 del GDPR, che  prevede, a carico del Titolare del Trattamento, l’obbligo di:

“… valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.

E’ importante derimere subito e senza ombre letterarie che ai fini della privacy come disposto dal regolamento europeo GDPR 2016/679 la valutazione dei rischi è obbligatoria e fondamentale per determinare se un trattamento presenta un rischio elevato per la libertà e i diritti degli interessati.

Sempre per essere chiari occorre che sia anche chiaro il concetto per cui la valutazione dei rischi del trattamento è indipendente dalla DPIA – Data Protection Impact Assesment -.

Infatti le due attività nel tempo hanno generato un “attimo di incomprensione” reputando che si stesse parlando della stessa attività, cosa non vera perché valutazione del rischio e DPIA sono due momenti diversi.

Quindi per comprenderci è obbligo del titolare per ogni trattamento studiare ed effettuare una valutazione dei Rischi Privacy per valutare se, le misure di sicurezza sono adeguate alla mitigazione del rischio.

Solo per i trattamenti che presentano i fattori dettati dal provvedimento del Garante Privacy dello scorso ottobre, e del WP 248, è necessaria la conduzione del DPIA.