Il regolamento 2016/6791 (RGPD) è applicabile a partire dal 25 maggio 2018. L’art. 35 del RGPD introduce la nozione di valutazione di impatto sulla protezione dei dati (DPIA, utilizzando l’acronimo inglese per Data Protection Impact Assessment), e lo stesso dicasi per la direttiva 2016/680.
Una DPIA consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali (attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli). La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche a dimostrare l’adozione di misure idonee a garantire il rispetto di tali prescrizioni (si veda anche l’art. 24). In altri termini, la DPIA è una procedura che permette di realizzare e dimostrare la conformità con le norme.
In base al regolamento, l’inosservanza degli obblighi concernenti la DPIA può comportare l’imposizione di sanzioni pecuniarie da parte della competente autorità di controllo. Il mancato svolgimento della DPIA quando il trattamento è soggetto a tale valutazione (art. 35, paragrafi 1 e 3-4), lo svolgimento non corretto di una DPIA (art. 35, paragrafi 2 e 7-9) o la mancata consultazione dell’autorità di controllo competente ove ciò sia necessario (art. 36, paragrafo 3, lettera e) ) possono comportare l’irrogazione di una sanzione amministrativa pecuniaria fino a un massimo di 10 milioni di Euro, ovvero – se si tratta di un’impresa – fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore.
