Home » Risorse » Interviste e Contributi » Cos’è e quando deve essere redatto un Data Protection Impact Assessment in ambito IoT: obblighi per il Titolare e per il Fornitore
Interviste e Contributi Risorse

Cos’è e quando deve essere redatto un Data Protection Impact Assessment in ambito IoT: obblighi per il Titolare e per il Fornitore

data protection

Il Regolamento Europeo in materia di protezione dei dati personali ha introdotto un nuovo obbligo che coinvolge anche il mondo IoT, ovvero la redazione di un data protection impact assessment, ovvero di una verifica preliminare relativa all’impatto che sui dati può provocare una soluzione tecnologica adottata.

Di cosa si tratta esattamente? Il riferimento è all’art. 35 della General Data Protection Regulation (GDPR) la quale prescrive ai Titolari del trattamento (quindi a chi utilizza la soluzione IoT coadiuvato come vedremo dal fornitore) che qualora con la soluzione IoT vengano raccolti dati che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, debba essere svolta una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio.

L’esito della valutazione viene preso in considerazione per determinare quali misure (organizzative e di sicurezza) siano da adottare per dimostrare che il trattamento dei dati personali rispetta la GDPR. Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il Titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrà consultare l’Autorità di controllo.

Si pensi all’IoT applicato ad oggetti indossati, all’ e-commerce, ma anche in ambito produttivo dove sia necessaria una tracciabilità ed identificabilità anche a posteriori mediante l’associazione di codici alle persone fisiche nelle varie fasi di elaborazione. In tutti questi casi, è necessario che il Titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento stesso, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio.

Dunque, se da una parte il legislatore individua nel Titolare il soggetto tenuto ad avviare la DPIA sul trattamento che vorrà porre in essere, dall’altra tale valutazione non potrà prescindere da un intervento attivo del Fornitore che dovrà rilasciare informazioni che compongono l’oggetto di valutazione: misure di sicurezza impostate o comunque impostabili, modalità di conservazione dei dati, diritti esercitabili ovvero tutto ciò che sul fronte della soluzione abbia incidenza sul tema privacy.

A seconda della tipologia di dati, dovranno partecipare alla redazione del DPIA lo stesso data protection officer (DPO) se sussistente in azienda, piuttosto che l’area legale e compliance, chi si occupa di gestione del rischio, i sistemi informativi piuttosto che la produzione o la direzione commerciale: ognuno andando ad indicare rispetto alle tipologie dei dati ed al loro flusso, obiettivi e bilanciamenti di trattamento proponibili.

Qualora dalla valutazione d’impatto sulla protezione dei dati dovesse risultare che il trattamento, in mancanza delle garanzie, delle misure di sicurezza e dei meccanismi per attenuare il rischio, presenti un rischio elevato per i diritti e le libertà delle persone fisiche, e laddove non sia possibile attenuarlo, sarà necessario consultare l’Autorità di controllo prima dell’inizio delle attività di trattamento.

Non si tratta di un aspetto facoltativo ma obbligatorio: infatti attuando il trattamento attraverso la soluzione IoT potrebbero generarsi danni o interferenze con i diritti e le libertà della persona fisica. Preme ricordare che la redazione del DPIA laddove non venga effettuata e sia obbligatoria, può esporre il Titolare ad una sanzione non banale: si applicano infatti le sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Le DPIA possono essere richieste dall’Autorità di controllo in materia di privacy piuttosto che in caso di ispezione dalla Guardia di Finanza, quindi occorre mantenere una idonea storicizzazione dei documenti anche nelle loro varie versioni (ovviamente se la soluzione IoT viene modificata dovrà essere aggiornato anche il documento).  Ma non deve essere solo la sanzione a spingere Titolare e Fornitore verso la strada del DPIA: ricordiamoci che la privacy va gestita in modo preventivo, e non valutare gli elementi di composizione della soluzione IoT può vanificare investimenti e rallentare processi di rilascio incidendo così anche sul fatturato e sulla brand reputation.

Avv. Valentina Frediani

Colin & Partners

 

Articolo fornito da COLIN – Consulente Legale Informatico

Commenta

Clicca qui per inserire un commento


Iscriviti

per ricevere aggiornamenti sui trend e le opportunità IOT per il tuo business

Podcast & Smartspeaker

IOTtoday su Spotify IOTtoday su Google Podcast IOTtoday su Apple Podcast IOTtoday su Amazon Alexa IOTtoday su Google Home