CONTESTO DI RIFERIMENTO

La Valutazione d’Impatto sulla Protezione dei Dati (DPIA), prevista dall’art. 35 del GDPR, rappresenta uno strumento essenziale per garantire che i trattamenti di dati personali effettuati dagli Enti pubblici siano conformi ai principi di liceità, correttezza, trasparenza, minimizzazione e sicurezza. La DPIA consente di individuare e mitigare in modo sistematico i rischi per i diritti e le libertà degli interessati, soprattutto nei casi in cui vengano utilizzate tecnologie innovative, trattati dati su larga scala o gestite categorie particolari di dati.

Negli ultimi anni il contesto operativo degli Enti locali è profondamente cambiato: la crescente digitalizzazione dei servizi, l’adozione di piattaforme cloud, l’integrazione con sistemi nazionali, l’attuazione dei progetti PNRR e l’introduzione di nuovi obblighi normativi — tra cui quelli previsti dal D.lgs. 24/2023 in materia di whistleblowing — richiedono una gestione sempre più strutturata e documentata dei trattamenti di dati personali.

In questo scenario, la DPIA non è solo un adempimento formale, ma un processo di analisi che supporta l’Ente nel progettare servizi digitali sicuri, nel prevenire violazioni dei dati (data breach) e nel dimostrare la propria accountability verso cittadini, Autorità di controllo e soggetti terzi coinvolti nei trattamenti.

OGGETTO DEL SERVIZIO

Il servizio proposto dal CST mette a disposizione una figura professionale dedicata, esperta in materia GDPR, che espleti la valutazione per conto del Titolare del trattamento al fine di adempiere all’obbligo DPIA; il CST, dopo aver eseguito una raccolta di informazioni sulla tipologia dei dati e sulla categoria degli interessati coinvolti, nonché sulle caratteristiche degli strumenti, modalità e misure organizzative che coinvolgeranno i trattamenti, ai sensi dell’art. 35 par. 7 GDPR, eseguirà la valutazione attraverso i seguenti contenuti:

1. descrizione “sistematica” dei trattamenti e delle relative finalità tra cui, ove ricorra, anche l’indicazione del cd. legittimo interesse di cui alla lett. f) del par. 1 dell’art. 6 del GDPR;
2. analisi del rispetto o meno da parte delle sue attività dei principi di finalità, minimizzazione e proporzionalità del trattamento di cui all’art. 5 del GDPR;
3. valutazione dei rischi ai quali i diritti e libertà degli interessati sono esposti attraverso i trattamenti dei dati personali che effettuerà (sia in materia di privacy, sia intesi come libertà di espressione e di pensiero, libertà di movimento, libertà di coscienza e religione e il diritto a non subire discriminazioni di alcuna sorta);
4. susseguente individuazione delle misure tecniche, organizzative e di sicurezza presenti e/o da implementare o adottare per gestire i rischi di cui al precedente periodo e per garantire la protezione dei dati personali al fine di poter dimostrare una condotta responsabilizzata, ovvero tracciabile e conforme al Regolamento, che non leda i diritti e gli interessi degli interessati e di eventuali altri soggetti indirettamente coinvolti.