Data protection impact assessment

Pubblicato da Gio Lan il

-La videosintesi-

-Il commento testuale-

. Il Data Protection Impact Assessment (DPIA)

 

La valutazione del rischio è sicuramente un passaggio fondamentale ai fini dell’adeguamento al Nuovo Regolamento.

 

Pertanto, laddove un determinato trattamento possa comportare un rischio elevato per le libertà ed i diritti degli interessati, il Regolamento prevede come obbligatorio un apposito processo di valutazione: il cosiddetto Data Protection Impact Assessment.

 

Le linee-guida in materia di valutazione di impatto sulla protezione dei dati recentemente pubblicate dal WP29, identificano alcuni fattori che possono rappresentare un indice di un elevato livello di rischio, tra i quali, ad esempio, l’utilizzo di modalità di trattamento automatizzate idonee a produrre in capo all’interessato effetti legali o simili effetti sostanziali, un’attività di monitoraggio sistematico, il trattamento di dati sensibili  o il trattamento di dati personali su larga scala.

 

Maggiore sarà la ricorrenza dei fattori sopra indicati, maggiore potrà essere considerato il rischio per i diritti e le libertà delle persone fisiche. La valutazione dovrà, in ogni caso, essere condotta caso per caso, sulla base delle specifiche caratteristiche di ciascun trattamento. Infatti, in ipotesi, anche la ricorrenza di un singolo fattore di rischio potrebbe comportare l’obbligo di procedere alla valutazione d’impatto.

 

Tale procedura comporta una descrizione del trattamento, la valutazione della necessità e proporzionalità dello stesso rispetto alle sue finalità, la descrizione delle misure tecniche ed organizzative adottate a protezione dei diritti e delle libertà degli interessati, l’individuazione dei possibili rischi, l’individuazione di misure supplementari idonee a mitigare tali rischi e, quindi, la valutazione circa la sussistenza di rischi residui, anche a seguito della implementazione di tali ultime misure.

 

All’esito di questa valutazione d’impatto il titolare potrà decidere in autonomia se iniziare il trattamento (ove ritenga le misure adottate idonee a mitigare sufficientemente il rischio) ovvero – ove il livello di rischio continui ad essere elevato – consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale.

 

Dunque, l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dal Codice Privacy, come la notifica preventiva dei trattamenti all’autorità di controllo ed il cosiddetto procedimento di prior checking (ovvero, di verifica preliminare), sostituiti dall’obbligo di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, dall’obbligo di effettuazione di una valutazione di impatto nei termini brevemente illustrati.

Categorie: GDPR

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *