DPIA – REDAZIONE VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI

E’ stato introdotto con il Regolamento Europeo 2016/679 sulla Privacy il PIA, Privacy Impact Assessment ovvero la “Valutazione d’impatto sulla Privacy”.

Uno dei rischi più elevati per i diritti e le libertà delle persone fisiche, si concretizza con l’utilizzo delle navigazioni in internet (anche grazie alla diffusione massiccia degli smartphone), all’uso dei social e portali e-shop per gli acquisti online e transazioni commerciali.

In base a quanto previsto dal nuovo Regolamento Europeo 2016/679, il Titolare del trattamento dei dati deve effettuare, prima di procedere al “trattamento”, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

La valutazione di impatto privacy sostituisce l’obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali e va fatta prima del trattamento, per soppesare la particolare probabilità e gravità del rischio.

Mediante la valutazione d’impatto si acquisiscono le necessarie conoscenze sulle misure, sulle garanzie e sui meccanismi previsti per attenuare il rischio e assicurare la conformità del trattamento agli standard normativi.

La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1;
L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati.

Il contenuto minimo della  valutazione deve avere almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Qualora ne sia designato uno, il titolare del trattamento, quando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il DPO.

Nel valutare l’impatto del trattamento effettuato (DPIA) dai relativi titolari o responsabili si deve considerare il rispetto da parte di questi ultimi dei “codici di condotta” approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.

Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

L’autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento.

In base a quanto previsto dal nuovo Regolamento Europeo, il Titolare del trattamento dei dati deve effettuare (prima di procedere al “trattamento”), una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

La valutazione dell’impatto sulla protezione dei dati si deve fare quando quando:

• la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
• il trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9, paragrafo 1, del Regolamento 679 o di dati relativi a condanne penale o reati;
• Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche.

I Consulenti esperti di Privacy dello Staff MODI effettuano la valutazione dell’impatto sulla protezione e, quando necessario, il documento di valutazione dell’impatto dei trattamenti sulla protezione dei dati personali.

.

Vuoi maggiori informazioni?