Page 20 - Rassegna 2021-4
P. 20

DOTTRINA




                    Per realizzare la piena conformità dell’attività amministrativa al GDPR
              sussiste anche l’ulteriore obbligo di effettuare una “valutazione di impatto sulla
              protezione dei dati personali” (cosiddetta DPIA:  Data Protection Impact
              Assessment).
                    Infatti l’art. 35, paragrafo 3, lettera a) GDPR impone al titolare di effet-
              tuare una valutazione di impatto nel caso di “una valutazione sistematica e globale di

              aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa
              la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo
              analogo significativamente su dette persone fisiche”.
                                                       (22)
                    Tale valutazione è un processo  inteso a:
                    ➣ descrivere sistematicamente il trattamento e le relative finalità;
                    ➣ valutarne la necessità e la proporzionalità;
                    ➣ contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche
              derivanti dal trattamento di dati personali, valutando detti rischi e determinando
              le misure per affrontarli.
                    Il Gruppo di Lavoro WP29, nelle linee Guida WP251 individua le misure

                                                      (23)
              da introdurre per far fronte ai rischi , le quali, analogamente a quanto indicato
              dal Consiglio di stato nella Sentenza n. 8472/2019, potrebbero comprendere:
                    ➣ informare l’interessato dell’esistenza e della logica utilizzata nel processo
              decisionale automatizzato;
                    ➣ spiegare l’importanza e le conseguenze previste del trattamento per l’in-
              teressato;
                    ➣ fornire all’interessato i mezzi per opporsi alla decisione;
                    ➣ consentire all’interessato di esprimere il proprio punto di vista.

                    Un’ultima indicazione finale operativa: tutte le Pubbliche Amministrazioni
              possono comunque fare affidamento sul Responsabile della Protezione dei Dati
              (RPD o DPO: Data Protection Officer) che sono obbligate a designare e che aven-
              do una conoscenza specialistica della normativa e delle prassi in materia di pro-
              tezione dei dati costituisce un qualificato supporto funzionale a garantire la com-
              pliance al GDPR e quindi un corretto uso degli algoritmi nei procedimenti
              amministrativi.







              (22)  Così § I delle Linee Guida in materia di valutazione di impatto sulla protezione dei dati
                    WP248 rev. 01, adottate dal WP29 il 4 ottobre 2017. Vds. anche art. 35, paragrafo 7 GDPR.
              (23)  § VI delle Linee Guida sul processo decisionale automatizzato WP251 rev. 01 adottate dal
                    WP29 il 6 ottobre 2018.

               18
   15   16   17   18   19   20   21   22   23   24   25