Blog
Showcase
Roberto Bateman

Che cosa è una DPIA?

Che cosa è una DPIA?

Titolo 2
Titolo 3
Condividi questo contenuto

La valutazione d'impatto sulla protezione dei dati (DPIA) è un processo documentato che aiuta a individuare e mitigare i rischi associati ai dati personali. 

Quando si esegue una DPIA, è necessario:

  • Descrivi in dettaglio come e perché intendi elaborare i dati personali e identifica i tipi di dati coinvolti .
  • Individuare i rischi per la privacy e altri diritti delle persone .
  • Trovare modi migliori di fare le cose che riducano o eliminino i rischi per la protezione dei dati .

Una buona DPIA ti aiuterà a prevedere e gestire i rischi, a migliorare l'efficienza riducendo la raccolta di dati non necessari e a dimostrare ai clienti e agli enti regolatori che prendi sul serio la protezione dei dati.

La DPIA è uno strumento estremamente utile per chiunque stia valutando un nuovo prodotto o progetto che coinvolga dati personali .

Potresti aver sentito persone usare termini come "Privacy Impact Assessment (PIA)" e "Data Protection Assessment (DPA)" per descrivere questo processo. Tuttavia, il termine "DPIA" deriva dal GDPR stesso, che fornisce una serie di regole su quando e come eseguire il processo.

Il GDPR richiede una DPIA prima di utilizzare i dati personali in determinati modi rischiosi. Ogni Data Protection Authority (DPA) nel Regno Unito, nell'UE e nel più ampio Spazio economico europeo (SEE) fornisce anche un elenco di attività per le quali è richiesta una DPIA.

Componenti chiave di una valutazione dell'impatto sulla protezione dei dati

Esistono molti modi per condurre una DPIA, a patto che vengano adottate determinate misure per garantire l'elaborazione sicura dei dati personali. " Elaborare dati personali " significa utilizzare informazioni che possono identificare gli individui (" interessati ").

Ai sensi dell’articolo 35 del GDPR, una DPIA deve includere:

  • Una descrizione sistematica di: un testo
    • Le operazioni di elaborazione (cosa intendi fare con i dati personali).
    • Le finalità del trattamento ( perché si intende raccogliere o utilizzare i dati personali).
    • Se applicabile, l' interesse legittimo che stai perseguendo (in che modo il progetto serve gli interessi della tua organizzazione e di altre persone).
  • Una valutazione della necessità e della proporzionalità (se è necessario elaborare dati personali per raggiungere il proprio obiettivo e se si sta elaborando la giusta quantità di dati personali nei modi appropriati).
  • Una valutazione dei rischi per i diritti e le libertà delle persone (il potenziale danno alla privacy delle persone e ad altri diritti)
  • Misure per affrontare i rischi, tra cui: del testo
    • Misure di salvaguardia
    • Misure di sicurezza 
    • Meccanismi per garantire la protezione dei dati e dimostrare la conformità al GDPR

In alcuni casi, potrebbe essere necessario consultare le persone interessate dal progetto o l' autorità locale per la protezione dei dati (DPA) .

Di seguito spiegheremo il tutto passo dopo passo .

Esempio: operazioni di elaborazione e finalità di Snap

L'anno scorso, Snap ha rilasciato My AI, una versione di ChatGPT all'interno di Snapchat. 

L' Information Commissioner's Office (ICO) del Regno Unito ha affermato che Snap non aveva condotto una corretta DPIA per My AI e ha emesso una sanzione preliminare ai sensi del GDPR nei confronti dell'azienda. 

Dopo che Snap ha prodotto cinque versioni successive del suo DPIA , l'ICO ha archiviato il caso. 

L'ICO ha pubblicato una nota di decisione in cui spiega dettagliatamente come la DPIA di Snap è migliorata nel tempo, quindi conosciamo il punto di vista dell'autorità di regolamentazione su come gestire correttamente questo processo .

Per prima cosa, l'ICO ha affermato che le prime versioni della DPIA di Snap non fornivano una "descrizione sistematica" sufficientemente dettagliata delle "operazioni di elaborazione" e delle finalità . Ciò si collega al primo punto delineato nella sezione precedente.

Tuttavia, con la quinta versione, questa parte della DPIA di Snap soddisfaceva i requisiti del GDPR, per i seguenti motivi:

  • Snap ha descritto sistematicamente come ha utilizzato la tecnologia ChatGPT di OpenAI per generare gli output di My AI.
  • Snap ha prestato maggiore attenzione al contesto più ampio del suo prodotto, comprese le preoccupazioni del pubblico sull'intelligenza artificiale generativa.
  • Snap ha fornito statistiche sugli utenti di Snapchat e My AI per aiutare a identificare i rischi, in particolare quelli che coinvolgono i bambini.
  • Snap ha fornito una spiegazione dettagliata ripartizione dei suoi scopi per l'elaborazione dei dati personali tramite My AI, che includeva: del testo
    • Fornire un'esperienza personalizzata,
    • Migliorare il servizio,
    • Fornire annunci contestuali,
    • Fornire una funzionalità orientata alla sicurezza e alla protezione.

Nel corso delle sue cinque DPIA, Snap ha valutato il suo prodotto in modo più dettagliato e ha mappato in che modo My AI avrebbe potuto avere un impatto sugli utenti di Snapchat. Guardare il quadro generale ha aiutato Snap a: 

  • Identificare i rischi precedentemente invisibili
  • Implementare misure di sicurezza adeguate
  • Evitare una multa GDPR

Quando è richiesta una DPIA ai sensi del GDPR?

In alcune circostanze è obbligatorio condurre una DPIA. 

Come parte di un'indagine GDPR, gli enti regolatori possono richiedere di vedere una copia del tuo DPIA. Quindi è particolarmente importante che tu conduca un DPIA quando richiesto.

Ecco le quattro fonti principali che ci dicono quando una DPIA è obbligatoria.

1. La soglia del “probabile rischio elevato” del GDPR

A volte, devi decidere autonomamente se è necessaria una DPIA

Ai sensi dell'articolo 35 (1), è necessario condurre una DPIA se è probabile che l'utilizzo dei dati personali comporti un rischio elevato per i "diritti e le libertà" delle persone, inclusi i diritti a: 

  • Riservatezza
  • Protezione dei dati
  • Altri diritti, come la libertà di espressione e il diritto al lavoro

Quando si decide se è necessario effettuare una DPIA, si dovrebbe considerare la " natura, l'ambito, il contesto e gli scopi " delle attività previste. In altre parole: 

  • Cosa stai facendo
  • Quanti dati personali sono coinvolti
  • Quali tipi di persone potrebbero essere colpite
  • Perché lo fai

È più probabile che sia necessario effettuare una DPIA se si utilizzano nuove tecnologie.

2. Le attività specifiche ad alto rischio del GDPR

Oltre a questa soglia di “probabile rischio elevato”, l’articolo 35 (3) del GDPR afferma che è necessario condurre una DPIA se:

  • Impegnato in una " profilazione sistematica ed estesa " con effetti significativi. Ciò potrebbe includere attività come la valutazione del merito creditizio, la sorveglianza o alcune forme di pubblicità comportamentale.
  • Elaborazione di grandi quantità di “ dati di categoria speciale ” (tra cui informazioni sull’etnia, la salute o le opinioni politiche delle persone) o dati su reati penali .
  • Systematically monitoring a publicly accessible area on a large scale, such as via CCTV.

3. Linee guida del Comitato europeo per la protezione dei dati (EDPB)

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato delle linee guida che stabiliscono quando è probabile che sia richiesta una DPIA, tra cui:

  • Valutazione e punteggio . Ciò significa usare la tecnologia per fare previsioni sulle persone, tra cui le loro prestazioni sul lavoro, la situazione economica, la salute, gli interessi personali, l'affidabilità, il comportamento, la posizione o i movimenti.
  • Abbinamento o combinazione di set di dati : ad esempio, utilizzo di due set di dati, derivanti da due attività diverse o da due organizzazioni diverse, in un modo che le persone potrebbero non aspettarsi.
  • Impedire l'accesso ai servizi : ad esempio, quando una banca utilizza i dati di riferimento creditizio per decidere se offrire un prestito a un cliente.

Nella guida sono elencati molti altri scenari, quindi leggila se non sei sicuro di dover effettuare una DPIA.

4. Elenchi delle attività ad alto rischio degli enti regolatori

Infine, ciascuna autorità per la protezione dei dati (DPA) pubblica un elenco delle attività che richiedono una DPIA nella propria giurisdizione. 

Ad esempio, ecco alcune delle attività che richiedono una DPIA secondo la Commissione irlandese per la protezione dei dati (DPC) :

  • The large-scale use of personal data for reasons other than those for which it was originally collected.
  • “Monitorare, tracciare o osservare sistematicamente la posizione o il comportamento degli individui”.
  • Ottenere dati personali da fonti terze (a meno che non si sia in grado di soddisfare i requisiti di trasparenza del GDPR nel farlo).

Guida passo passo per condurre una DPIA

Come accennato, non esiste un "unico modo" per condurre una DPIA. Ma ecco una panoramica di cosa dovresti includere, con alcuni suggerimenti su come completare ogni passaggio.

Fase 1: Motivo della DPIA

Innanzitutto, dovresti registrare il motivo per cui stai conducendo una DPIA , probabilmente per uno dei seguenti motivi:

  • Articolo 35 (1): È “altamente probabile” che il tuo progetto comporti un “rischio elevato” per i diritti e le libertà delle persone
  • Articolo 35 (3) (a): Profilazione sistematica ed estesa
  • Articolo 35 (3) (b): Dati di categoria speciale o dati relativi a reati penali
  • Articolo 35 (3) (c): Sorveglianza di un luogo pubblico
  • Il tuo progetto richiede una DPIA secondo le linee guida dell'EDPB
  • Il tuo progetto comporta un'attività ad alto rischio come designato dalla tua autorità per la protezione dei dati
  • Nessuna delle precedenti

Per maggiori dettagli su queste condizioni, vedere “Quando è richiesta una DPIA ai sensi del GDPR?” sopra.

Fase 2: Descrizione dell'elaborazione

Il passaggio 2 della DPIA è quello in cui si spiega cosa si intende fare con i dati personali

Il GDPR richiede di considerare la natura, l'ambito, il contesto e le finalità del trattamento. Oltre a questo, spetta a te decidere quanti dettagli includere. 

La maggior parte delle DPIA affronta i seguenti punti:

Tipi di dati di categorie speciali o di reati penali coinvolti Origine razziale o etnica
Opinioni politiche
Credenze religiose o filosofiche
Iscrizione al sindacato
A chi si riferiscono le informazioni? Clienti
Dipendenti
Studenti
Potenziali clienti
Natura del trattamento Cosa fai con i dati personali?
Dove lo troverai?
Come lo conserverai?
Finalità del trattamento Perché trattate i dati personali in questo modo?
Chi ne trae vantaggio e come?
Conservazione e cancellazione Per quanto tempo conserverete i dati personali?
Come farete a garantire che venga cancellato al momento opportuno?
Altre organizzazioni Elencare tutte le altre parti coinvolte nel trattamento, inclusi i responsabili del trattamento, gli altri titolari del trattamento, i contitolari del trattamento e le terze parti.
Se si condividono dati con altre organizzazioni o si ricevono dati da esse, potrebbe essere utile disegnare un diagramma del flusso di dati.
Trasferimenti internazionali di dati Trasferirete i dati al di fuori dello SEE (o, se vi trovate nel Regno Unito, al di fuori del Regno Unito)?
In tal caso, elencare i paesi interessati e le misure di sicurezza adottate per garantire la conformità al GDPR.

Ricorda che sei tu a decidere come strutturare la tua DPIA, purché siano rispettati i requisiti del GDPR.

Fase 3: ricercare le opinioni delle persone

Il GDPR afferma che è necessario " cercare le opinioni degli interessati " ove appropriato. Molte organizzazioni saltano questo passaggio, ma può essere un buon modo per identificare i rischi. 

Potresti anche consultare esperti in materia , responsabili del trattamento dei dati che gestiscono per tuo conto o altri team all'interno della tua organizzazione.

Se hai intenzione di intraprendere questo passaggio facoltativo, dovresti documentare:

  • Chi intendi consultare
  • Cosa pensi di chiedere loro?
  • (Dopo la consulenza) Cosa hanno detto e se questo ha un impatto sul tuo progetto

Se non hai intenzione di intraprendere questo passaggio facoltativo, dovresti spiegare perché non lo ritieni appropriato.

Fase 4: Valutazione della necessità e della proporzionalità

Il GDPR afferma che la DPIA deve includere “una valutazione della necessità e della proporzionalità dell’operazione di trattamento in relazione alle finalità”.

Questo passaggio rappresenta l'opportunità di esplorare le seguenti domande:

  • Perché hai bisogno di elaborare dati personali per raggiungere i tuoi scopi?
  • Qual è la base giuridica ai sensi dell'articolo 6 del GDPR?
  • Se si elaborano dati di categorie particolari, quale condizione ai sensi dell'articolo 9 del GDPR si applica?
  • Potresti raggiungere gli stessi o simili risultati:qualche testo
    • Con meno dati?
    • Con dati su meno individui?
    • Con dati di natura meno sensibile?
  • Come puoi garantire che i dati vengano utilizzati solo per lo scopo previsto ?
  • Sarai in grado di fornire ai soggetti interessati le informazioni sulla trasparenza rilevanti ai sensi dell'articolo 13 o 14 del GDPR? In caso affermativo, come? In caso contrario, hai una valida ragione?
  • Quali meccanismi avete messo in atto per garantire che le persone possano esercitare i propri diritti in quanto interessati?

Fase 5: Identificazione dei rischi

Ora è il momento di chiedersi: cosa potrebbe andare storto?

Si considerino i rischi per i “diritti e le libertà” delle persone , non solo per la privacy e la protezione dei dati, ma anche, se pertinente, per la libertà di espressione, l’accesso ai servizi essenziali e altri diritti.

È possibile valutare i rischi in termini di: 

  • Probabilità (quanto è probabile che il rischio si verifichi)
  • Gravità (quanto grave sarebbe il danno se il rischio si verificasse)
  • Rischio complessivo (basato su una media di probabilità e gravità)

Alcune organizzazioni tracciano questi fattori su una matrice e ricavano un punteggio di rischio iniziale. Questa matrice potrebbe avere un aspetto simile a questo:

Gravità →
Probabilità ↓		 Basso impatto Impatto medio Impatto grave
Improbabile Molto basso Basso Medio
Probabile Basso Medio Alto
Molto probabile Medio Alto Molto alto

Una matrice come questa può aiutarti a ricavare una valutazione iniziale del rischio, che potrebbe cambiare al passaggio 6, una volta applicate le misure di mitigazione.

Caso di studio: Snap

La decisione Snap dell'ICO rivela come l'azienda ha identificato i rischi associati al suo chatbot My AI.

Nelle prime quattro versioni della sua DPIA, Snap non avrebbe affrontato i rischi del trattamento di dati di categorie speciali

Nella quinta versione del suo DPIA, Snap ha affermato che l'elaborazione di tali dati era "altamente probabile" poiché in ultima analisi non poteva controllare se gli utenti fornivano al chatbot informazioni sulla loro salute, convinzioni filosofiche, etnia, ecc.

Oltre a chiedere agli utenti di non condividere questo tipo di tipo con My AI, Snap poteva fare ben poco per mitigare questo rischio. Ma anche il fatto che Snap avesse valutato il rischio era sufficiente per l'ICO. Questa valutazione è stata una delle ragioni per cui l'autorità di regolamentazione ha deciso di non emettere una multa GDPR.

Questo esempio illustra i vantaggi di condurre una valutazione dei rischi completa e di vasta portata come parte della DPIA.

Fase 6: Attenuazione dei rischi

Ora che hai identificato i potenziali problemi, è il momento di pensare alle soluzioni.

Per ogni rischio identificato nel passaggio 4, considera se puoi mitigarlo o eliminarlo . I controlli appropriati potrebbero includere:

  • Controlli di accesso
  • Crittografia
  • Minimizzazione dei dati
  • Formazione del personale
  • Disposizioni contrattuali
  • Disattivazione della pubblicità mirata
  • Anonimizzazione o pseudonimizzazione 

Si noti che alcune di queste misure di mitigazione vanno oltre la sicurezza dei dati , che, dopotutto, è solo una delle tante considerazioni sulla protezione dei dati.

Una volta applicate le mitigazioni a un rischio, puoi rivalutarne la probabilità e la gravità . Questo processo potrebbe ridurre un rischio "alto" a un rischio "medio" o "basso", e così via.

Fase 7: Consultazione preventiva

A questo punto, avrai identificato i rischi associati al tuo progetto e applicato le mitigazioni. Speriamo che tu finisca con un set di rischi di livello basso-medio che sono accettabili nel complesso.

Se al termine della DPIA sussistono ancora rischi considerati "elevati", dovrai contattare l'Autorità per la protezione dei dati (DPA) per chiedere consiglio.

L'articolo 36 (3) del GDPR elenca le informazioni che devi fornire al tuo DPA:

  • Un elenco dei titolari del trattamento, dei contitolari del trattamento e degli incaricati del trattamento coinvolti nel tuo progetto, con le rispettive responsabilità (se applicabili)
  • Le finalità (motivi) e i mezzi (metodi) del trattamento
  • Le misure e le garanzie per proteggere i diritti e le libertà delle persone
  • Dati di contatto del Responsabile della protezione dei dati (RPD) (se ne hai uno)
  • Una copia del tuo DPIA
  • Ogni altra informazione richiesta dal DPA

Se l'autorità per la protezione dei dati ritiene che il tuo progetto rischi di violare il GDPR, ti fornirà una consulenza scritta entro otto settimane (con una possibile estensione di sei settimane).

Caso di studio: azienda di trasporti austriaca

In Austria , un'azienda di trasporti ha condotto una DPIA in merito ai suoi piani di registrare il traffico che passava su un ponte. Alla fine del processo, l'azienda ha scoperto di non poter mitigare alcuni rischi legati alla fornitura di informazioni sulla trasparenza ai conducenti. 

L'azienda ha contattato l'autorità di controllo austriaca per la protezione dei dati (DPA) ai sensi delle norme di "previa consultazione" del GDPR. Tuttavia, l'autorità di regolamentazione ha affermato che l'azienda ha adottato misure sufficienti per mitigare i rischi rilevanti e ha dato il "via libera" al progetto.

A volte è meglio consultare un DPA se non sei sicuro se il tuo progetto debba andare avanti. Possono fornire consigli utili su come mitigare meglio i rischi per la protezione dei dati e potrebbero essere in grado di rassicurarti che sei sulla strada giusta.

Strumenti e modelli per condurre DPIA

Oltre alle risorse a cui abbiamo fatto riferimento in questo articolo, ecco alcuni modelli per aiutarti a condurre la tua DPIA:

Punti chiave e conclusione

In questo articolo abbiamo trattato i seguenti punti chiave sulle valutazioni d'impatto sulla protezione dei dati (DPIA):

  • Le valutazioni d'impatto sulla protezione dei dati aiutano a identificare e mitigare i rischi per i dati personali, garantendo la conformità al GDPR e migliorando la tutela della privacy.
  • DPIAs are mandatory for high-risk data processing activities, such as large-scale profiling, use of special category data, or systematic monitoring of public areas.
  • I passaggi chiave includono la descrizione delle attività di elaborazione, la valutazione della necessità, l'identificazione e l'attenuazione dei rischi e, se necessario, la consultazione delle parti interessate o delle autorità di regolamentazione.
  • Le valutazioni d'impatto sulla protezione dei dati migliorano la gestione del rischio, semplificano le pratiche relative ai dati e dimostrano responsabilità nei confronti dei clienti e degli enti regolatori.
  • I dati personali possono assumere diverse forme: dai nomi agli indirizzi IP, fino ai dati del dispositivo.
  • Gli interessati hanno dei diritti ai sensi del GDPR ed è tua responsabilità soddisfarli.

Le DPIA sono essenziali per mantenere la fiducia e la conformità normativa. Per scoprire come Privasee può semplificare i tuoi processi DPIA, prenota una demo oggi stesso. 

DPIA - Domande frequenti

Cosa devo fare se ho intenzione di utilizzare l'intelligenza artificiale nel mio prodotto o nella mia organizzazione?

Se stai sviluppando un prodotto che utilizza l'intelligenza artificiale, o stai implementando un prodotto di intelligenza artificiale nella tua organizzazione, probabilmente dovrai condurre una DPIA

Tra gli altri regolatori, l'ICO del Regno Unito afferma:

" Nella stragrande maggioranza dei casi , l'uso dell'intelligenza artificiale comporterà un tipo di elaborazione che probabilmente comporterà un rischio elevato per i diritti e le libertà degli individui e, pertanto, comporterà l'obbligo legale di intraprendere una DPIA ".

L'esecuzione di una DPIA contribuirà a garantire che l'uso e lo sviluppo dell'intelligenza artificiale avvengano in modo sicuro e responsabile.

Quali sono le sanzioni per la mancata esecuzione di una DPIA?

La mancata esecuzione di una DPIA o la mancata consultazione dell'autorità per la protezione dei dati (DPA), se necessario, può comportare una multa fino a 10 milioni di euro o il 2% del fatturato globale annuo (a seconda di quale importo sia più elevato).

È possibile condurre una DPIA retrospettivamente?

No, una DPIA dovrebbe essere condotta “prima dell’elaborazione”, ovvero prima dell’avvio del progetto.

Chi dovrebbe essere coinvolto nella conduzione di una DPIA?

Quando esegui una DPIA, dovresti parlare con tutti i soggetti coinvolti nel progetto e, idealmente, con gli interessati.

  • Il tuo responsabile della protezione dei dati (RPD) 
  • Titolari e responsabili del trattamento
  • Il team di sicurezza informatica della tua organizzazione
  • Il team legale o di conformità della tua organizzazione

Potrebbe essere necessario parlare anche con l'Autorità per la protezione dei dati (DPA) (vedere il passaggio 7 sulla "consultazione preventiva" sopra).

Con quale frequenza dovrebbe essere riesaminata una DPIA?

Non esiste una regola sulla frequenza con cui una DPIA dovrebbe essere esaminata. Se qualcosa cambia nel tuo progetto, potresti dover aggiornare e rieseguire la tua DPIA. Altrimenti, potresti impostare un periodo regolare per la revisione delle DPIA della tua organizzazione.

Buone pratiche per condurre DPIA efficaci

Ecco cinque suggerimenti per sfruttare al meglio il processo DPIA:

  1. Rendila significativa . Una DPIA non è un esercizio di spunta: è la tua possibilità di evitare rischi, proteggere i diritti delle persone e migliorare il tuo progetto. Hai più probabilità di trarre beneficio da una DPIA se prendi il processo sul serio.
  1. Pensa in modo ampio : anche se un rischio sembra molto improbabile che si verifichi, vale la pena annotarlo. Una DPIA è la tua possibilità di anticipare lo scenario peggiore come ipotetico in modo che non diventi realtà.
  1. Coinvolgi altre persone : anche se scegli di non consultare gli interessati (vedi Fase 3, sopra), dovresti parlare con chiunque tu ne abbia bisogno, all'interno o all'esterno della tua organizzazione. Fai domande e ottieni una comprensione completa del progetto.
  1. Coinvolgi il tuo DPO : se la tua organizzazione ha un DPO, devi coinvolgerlo nel processo DPIA. Probabilmente non è appropriato che il tuo DPO svolga la DPIA da solo, ma dovresti chiedere il suo consiglio durante tutto il processo e fargli rivedere la tua bozza finale.
  2. Rivedi la tua DPIA : una DPIA è un "documento vivo": conservala in archivio e rivedila periodicamente. Potresti scoprire che è obsoleta o che alcune raccomandazioni non sono state attuate.
16 luglio 2024
Saperne di più

Post correlati

Showcase

Privasee contro SafeBase

11 febbraio 2025
Showcase

Privasee contro Vendict

11 febbraio 2025
Showcase

Cos'è una RFP nel settore assicurativo?

7 febbraio 2025
Visualizza tutti
Saperne di più

Post in evidenza

Showcase

In cosa consiste il processo di approvvigionamento?

16 gennaio 2025
Showcase

Cos'è un DDQ?

15 gennaio 2025
Showcase

Cos'è una RFI?

22 dicembre 2024
Visualizza tutti