La scheda

DPIA, ecco come la fanno le istituzioni europee: le best practice nel rapporto dell’EDPS

Il Garante europeo EDPS ha reso pubblico un report in cui descrive come le istituzioni e gli organismi dell’UE svolgono la valutazione d’impatto: un documento utile per capire come svolgere al meglio la DPIA

14 Lug 2020
T
Luca Tosoni

Avvocato e ricercatore presso l'Università di Oslo

Il Garante europeo della protezione dei dati (EDPS) ha pubblicato un rapporto che descrive come le istituzioni e gli organismi dell’Unione europea effettuano le valutazioni d’impatto sulla protezione dei dati rispetto alle attività di trattamento che svolgono. Vediamo quali sono le lezioni che altri operatori, compresi quelli del settore privato, possono trarre dal rapporto dell’EDPS.

La DPIA secondo il GDPR

Una delle principali novità introdotte dal GDPR è stata quella di imporre ai titolari del trattamento di effettuare, prima di procedere al trattamento, una valutazione d’impatto sulla protezione dei dati (DPIA), qualora il trattamento possa presentare un rischio elevato per i diritti e le libertà degli interessati. Si tratta di uno strumento, inizialmente utilizzato solo in Nuova Zelanda e in Australia, volto a responsabilizzare i titolari rispetto alle conseguenze dei trattamenti che intendono eseguire per la privacy e i diritti delle persone.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

L’obbligo di effettuare una DPIA grava soprattutto su quei titolari che intendono far uso di nuove tecnologie (in quanto si presume che queste possano presentare rischi maggiori o inesplorati), e va inteso nel contesto dell’obbligo generale di gestire adeguatamente i rischi connessi al trattamento di dati personali.

Con l’adozione del Regolamento (UE) 2018/1725 quest’obbligo è stato esteso anche alle istituzioni, agli organi e agli organismi dell’Unione europea (come la Commissione europea, l’Agenzia europea per i medicinali, l’Agenzia europea per la sicurezza delle reti e dell’informazione, ecc.).

Il Garante europeo della protezione dei dati (EDPS), il cui compito principale consiste nel monitorare le attività di trattamento degli organismi e delle istituzioni europee, ha recentemente condotto un’inchiesta su come tali organismi e istituzioni effettuano le valutazioni d’impatto sulla protezione dei dati; un’inchiesta che si è conclusa con la pubblicazione di un rapporto. Il rapporto dell’EDPS rivela come, data la novità dello strumento, anche le istituzioni europee abbiano poca dimestichezza con le DPIA, visto che ad oggi quasi nessuna istituzione ne ha effettuate più di due. Tuttavia, le best practice seguite dalle istituzioni europee, e riportate nel rapporto dell’EDPS, possono risultare utili a migliorare l’utilizzo delle DPIA anche nel settore privato.

Le lezioni da trarre dal rapporto dell’EDPS

Alcuni spunti interessanti emergono dalle statistiche riportate nel rapporto dell’EDPS. Ad esempio, il rapporto rivela come pochissime istituzioni facciano uso di consulenti esterni per effettuare una DPIA, e tendano invece a coinvolgere il proprio DPO interno. Ciò suggerisce come l’opportunità di rivolgersi a consulenti esterni vada sempre valutata con cautela, tenendo in debita considerazione le specifiche competenze tecniche che questi sono in grado di offrire.

Un altro dato interessante è la lunghezza media delle DPIA delle istituzioni europee: circa 16 pagine. Il che suggerisce che una buona DPIA non debba per forza essere lunga. Per quanto riguarda gli aspetti procedimentali delle DPIA, il rapporto sottolinea la necessità di cominciare a riflettere il prima possibile sulle possibili conseguenze in termini di privacy di un determinato progetto che prevede il trattamento di dati personali, in modo da avere tempo per effettuare una DPIA, che spesso richiede tempi lunghi.

Qualora una determinata attività di trattamento in programma coinvolga terze parti, il rapporto raccomanda particolari cautele. Ad esempio, viene suggerito che, ove non sia possibile aspettare di aver ultimato una DPIA prima di firmare i contratti con i fornitori di servizi esterni che verranno coinvolti nelle attività di trattamento in qualità di responsabili, l’esecuzione dei contratti venga subordinata all’effettivo completamento di una DPIA.

Sarebbe inoltre opportuno imporre in via contrattuale a tali soggetti di collaborare all’effettuazione della DPIA, visto che la mancanza di collaborazione da parte di soggetti esterni è una delle ragioni per cui le DPIA risultano spesso dispendiose in termini di tempo.

Il rapporto rivela inoltre come risulti spesso difficile convincere tutti i livelli di un’organizzazione dell’utilità di svolgere una DPIA. È quindi necessario cercare di spiegare chiaramente all’interno dell’organizzazione quali siano i vantaggi di una DPIA, ed evitare di presentarla come un mero obbligo di legge. Secondo quanto indicato dal rapporto dell’EDPS, molte istituzioni europee non pubblicano le proprie DPIA.

A questo proposito, è importante sottolineare come, nonostante non esista uno specifico obbligo in tal senso, la pubblicazione degli esiti delle DPIA è spesso raccomandata dalle autorità Garanti della privacy europee. Ad esempio, le recenti linee guida dell’EDPB sull’uso delle app di contact-tracing raccomandano vivamente la pubblicazione delle DPIA relative all’uso di tali app. Pertanto, sotto questo aspetto, la prassi seguita dalle istituzioni europee non pare un esempio virtuoso.

Infine, è interessante notare come anche le istituzioni europee ritengano che siano necessarie ulteriori linee guida in materia di DPIA. È quindi legittimo attendersi che non solo l’EDPS, ma anche l’EDPB non tarderà a pubblicare nuove linee guida in materia, in aggiunta alle linee guida su come valutare se un determinato trattamento “possa presentare un rischio elevato”, e richieda quindi una DPIA ai sensi del GDPR.

Conclusioni

Il rapporto dell’EDPS ha rivelato come non siano solo gli operatori del settore privato a dover acquisire domestichezza con le valutazioni d’impatto sulla protezione dei dati.

Tuttavia, una lettura attenta dello stesso può fornire un utile strumento per orientarsi ed effettuare al meglio tali valutazioni.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr