Valutazione del rischio e DPIA
Valutazione del rischio e DPIA due attività diverse troppo spesso gestite come se fossero la stessa cosa.
Uno degli adempimenti previsti dal GDPR è costituito dalla valutazione del livello di sicurezza del trattamento ai sensi dell’Art 32 del GDPR, che prevede, a carico del Titolare del Trattamento, l’obbligo di:
“… valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.
E’ importante derimere subito e senza ombre letterarie che ai fini della privacy come disposto dal regolamento europeo GDPR 2016/679 la valutazione dei rischi è obbligatoria e fondamentale per determinare se un trattamento presenta un rischio elevato per la libertà e i diritti degli interessati.
Sempre per essere chiari occorre che sia anche chiaro il concetto per cui la valutazione dei rischi del trattamento è indipendente dalla DPIA – Data Protection Impact Assesment -.
Infatti le due attività nel tempo hanno generato un “attimo di incomprensione” reputando che si stesse parlando della stessa attività, cosa non vera perché valutazione del rischio e DPIA sono due momenti diversi.
Quindi per comprenderci è obbligo del titolare per ogni trattamento studiare ed effettuare una valutazione dei Rischi Privacy per valutare se, le misure di sicurezza sono adeguate alla mitigazione del rischio.
Solo per i trattamenti che presentano i fattori dettati dal provvedimento del Garante Privacy dello scorso ottobre, e del WP 248, è necessaria la conduzione del DPIA.