GDPR - ARTICOLO 35 - VALUTAZIONE D'IMPATTO (DPIA)

La vostra DPIA conforme
al metodo CNIL

Il GDPR impone una Valutazione d'Impatto sulla Protezione dei Dati per ogni trattamento suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone. SYAGA DPIA-Express struttura e documenta la vostra DPIA secondo la metodologia dell'articolo 35 e le linee guida dell'EDPB, senza improvvisazione e senza gergo tecnico.

35
Articolo GDPR (DPIA)
9
Criteri EDPB (WP248 rev.01)
3
Casi di obbligo (art. 35.3)
4
Parti del metodo (art. 35.7 a-d)

L'obbligo

Determinare se il vostro trattamento deve essere oggetto di una DPIA, poi condurla secondo le regole

L'articolo 35 del GDPR impone una DPIA

Ogni trattamento suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone fisiche deve essere oggetto di una Valutazione d'Impatto sulla Protezione dei Dati prima della sua attuazione (GDPR, art. 35).

📋

La regola CNIL dei «2 criteri su 9»

L'EDPB (ex Gruppo di lavoro Articolo 29, WP29), nelle linee guida WP248 rev.01, ha definito 9 criteri di rischio elevato. Non appena un trattamento soddisfa almeno due di questi criteri, una DPIA deve in linea di principio essere condotta: un solo elemento mal identificato, e il fascicolo è incompleto.

🔍

Elenchi CNIL da confrontare articolo per articolo

La CNIL (l'autorità francese per la protezione dei dati) pubblica elenchi di trattamenti per i quali la DPIA è richiesta o non richiesta. Determinare con precisione dove si colloca il vostro trattamento richiede una lettura rigorosa, non un'impressione generale.

Senza metodo, il rischio è doppio

Condurre una DPIA troppo velocemente espone all'incompletezza davanti a un'autorità di controllo; non condurla quando è richiesta espone l'organizzazione a una violazione dell'articolo 35. Il metodo CNIL struttura questa scelta e la documenta.

Il metodo: DPIA-Express

La struttura imposta dall'articolo 35.7 del GDPR, applicata al vostro trattamento, con una conclusione motivata a ogni fase

1
Determinazione dell'obbligo

Il vostro trattamento è realmente soggetto alla DPIA?

Analisi rispetto ai 3 casi dell'articolo 35.3, alla griglia dei 9 criteri dell'EDPB (WP248 rev.01) e agli elenchi CNIL dei trattamenti richiesti o non richiesti. Conclusione motivata, che la DPIA sia infine obbligatoria o meno.

2
Art. 35.7.a

Descrizione sistematica del trattamento

Finalità, categorie di dati e di persone interessate, destinatari, tempi di conservazione: la mappatura completa richiesta dall'articolo 35.7.a, coerente con il vostro registro delle attività di trattamento (art. 30).

3
Art. 35.7.b

Necessità e proporzionalità

Verifica che ogni dato raccolto sia necessario alla finalità perseguita, che la base giuridica (art. 6) sia identificata per ogni trattamento, e che il principio di minimizzazione (art. 5.1.c) sia rispettato.

4
Art. 35.7.c

Valutazione dei rischi per le persone

Per ogni rischio identificato: gravità, probabilità, misure già in atto, rischio residuo, presentati in forma di tabella utilizzabile dalla vostra direzione o dal vostro DPO.

5
Art. 35.7.d e 5.2

Misure e conclusione documentata

Misure tecniche e organizzative previste (art. 32), conclusione motivata e giustificazione documentata ai sensi dell'accountability (art. 5.2), utilizzabile in caso di controllo da parte della CNIL.

Cosa ricevete

Un documento strutturato, con fonti citate, e onesto su ciò che resta da validare dal vostro legale o dal vostro DPO

📝

Rapporto DPIA strutturato

Il documento completo secondo l'articolo 35.7 (da a a d), con una conclusione motivata.

  • Descrizione sistematica del trattamento
  • Analisi di necessità e proporzionalità
  • Tabella dei rischi (gravità/probabilità/misure)
  • Conclusione e giustificazione documentata (art. 5.2)

Griglia di determinazione

L'analisi preliminare che stabilisce se il vostro trattamento rientra nel campo dell'obbligo.

  • I 3 casi dell'articolo 35.3
  • I 9 criteri EDPB (WP248 rev.01)
  • Confronto con gli elenchi CNIL
  • Conclusione motivata e con fonti citate
📁

Coerenza con il registro art. 30

La DPIA si basa sulla stessa base del vostro registro delle attività di trattamento.

  • Finalità e basi giuridiche
  • Categorie di dati e di persone
  • Destinatari e responsabili del trattamento
  • Tempi di conservazione per categoria
🚩

Punti da validare dal vostro legale/DPO

Ogni punto di incertezza è segnalato esplicitamente, mai deciso al posto vostro.

  • Qualificazione titolare / responsabile del trattamento
  • Basi giuridiche per finalità
  • Trasferimenti extra-UE identificati
  • Designazione di un DPO (art. 37), se applicabile
🔗

Fonti e tracciabilità

Ogni affermazione giuridica è supportata da fonti, non affermata a memoria.

  • Testo consolidato del GDPR (CELEX 32016R0679)
  • Pagine ed elenchi CNIL (DPIA, registro)
  • Linee guida EDPB (WP248 rev.01)
  • URL verificabili citati nel documento
📄

Documento modificabile

Consegnato in un formato modificabile, riutilizzabile dal vostro DPO o dal vostro legale.

  • Struttura conforme all'articolo 35.7
  • Riutilizzabile per i vostri futuri trattamenti
  • Pronto per essere completato prima della validazione finale
  • Nessuna formattazione fissa imposta

Riferimenti utilizzati

Un metodo che si basa su testi e autorità, non su interpretazioni personali

35

GDPR - Articolo 35

Valutazione d'impatto sulla protezione dei dati. Testo consolidato del Regolamento (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).

EDPB

Linee guida WP248 rev.01

I 9 criteri di rischio elevato dell'EDPB (ex Gruppo Articolo 29), ripresi dalla CNIL come metodo di riferimento per determinare l'obbligo di DPIA.

CNIL

Elenchi e metodo CNIL

Elenchi dei trattamenti per i quali la DPIA è richiesta o non richiesta, e metodo CNIL per la conduzione di una valutazione d'impatto.

30

GDPR - Articolo 30

Registro delle attività di trattamento: la base di coerenza (finalità, dati, tempi) su cui si fonda ogni DPIA.

Una DPIA su misura, senza costi nascosti

Il perimetro dipende dal numero di trattamenti, dalla loro complessità e da ciò che è già documentato presso di voi. Preventivo stabilito dopo un primo scambio.

Determinazione dell'obbligo

Non sapete se il vostro trattamento è interessato

Su preventivo
in base al numero di trattamenti da analizzare
  • Griglia dei 9 criteri EDPB
  • Confronto con l'articolo 35.3
  • Verifica degli elenchi CNIL
  • Conclusione motivata e con fonti citate
Richiedi un preventivo

Programma pluriennale

Più trattamenti a rischio da coprire

Su preventivo
in base al numero di trattamenti e al ritmo di riesame
  • Tutto DPIA completa +
  • Quadro metodologico comune
  • Riesame periodico (art. 35.11)
  • Coerenza mantenuta con il registro (art. 30)
Richiedi un preventivo

Una DPIA non è mai definitiva

L'articolo 35.11 del GDPR impone di riesaminare l'analisi in caso di evoluzione significativa del trattamento (nuovo responsabile del trattamento, cambio di hosting, estensione del perimetro di raccolta). Un preventivo di riesame è stabilito caso per caso.

Domande frequenti

Il mio trattamento è realmente soggetto all'obbligo di DPIA?
Dipende da tre elementi verificati metodicamente: i 3 casi dell'articolo 35.3 del GDPR, la griglia dei 9 criteri dell'EDPB (linee guida WP248 rev.01, riprese dalla CNIL: non appena 2 criteri su 9 sono soddisfatti, una DPIA deve in linea di principio essere condotta) e gli elenchi CNIL dei trattamenti richiesti o non richiesti. Il documento consegnato risolve questa domanda e la giustifica, punto per punto.
Cosa contiene esattamente il documento consegnato?
Un documento strutturato secondo l'articolo 35.7 del GDPR: descrizione sistematica del trattamento (a), analisi di necessità e proporzionalità (b), valutazione dei rischi per le persone interessate (c), misure tecniche e organizzative previste (d), poi una conclusione motivata. Ogni riferimento giuridico è supportato da fonti (testo consolidato GDPR, CNIL, EDPB).
E se il mio trattamento non è infine soggetto all'obbligo di DPIA?
Il documento è mantenuto a titolo volontario e documentale: costituisce la giustificazione della vostra decisione di non condurre una DPIA formale, ai sensi del principio di accountability (art. 5.2 del GDPR), utilizzabile in caso di controllo da parte della CNIL.
Questo documento sostituisce il parere del mio avvocato o del mio DPO?
No. DPIA-Express è uno strumento di accompagnamento metodologico che struttura e documenta l'analisi; non costituisce un parere giuridico. Ogni documento consegnato elenca esplicitamente i punti che restano da validare dal vostro legale o dal vostro Responsabile della Protezione dei Dati prima di qualsiasi uso opponibile.
Chi deve realizzare la DPIA nella mia organizzazione?
Il titolare del trattamento resta giuridicamente responsabile della DPIA; il DPO, ove presente, deve essere consultato (art. 35.2 del GDPR). DPIA-Express prepara il materiale (descrizione, rischi, misure) affinché questa consultazione avvenga su un fascicolo già strutturato, e non su una pagina bianca.
Perché rivolgersi a SYAGA piuttosto che farlo interamente internamente?
SYAGA Consulting esiste dal 2009 e applica questo stesso metodo ai propri trattamenti, incluso il proprio prodotto di audit Microsoft 365, la cui analisi dell'obbligo di DPIA segue esattamente questa struttura. Non consegniamo un modello generico: ogni documento è costruito trattamento per trattamento, articolo per articolo.

Pronti a documentare la vostra DPIA?

Descriveteci il vostro trattamento, vi ricontatteremo con un preventivo personalizzato.