HOME

/

DIRITTO

/

PRIVACY 2024

/

LINEE GUIDA SULLA VALUTAZIONE DI IMPATTO PRIVACY (PARTE PRIMA)

Linee guida sulla valutazione di impatto privacy (Parte prima)

Garante privacy 20/10/2017. Adottate le nuove linee guida sulla valutazione di impatto privacy rivolte a PA e imprese

Ascolta la versione audio dell'articolo

Attraverso la Newsletter n. 434 del 30 ottobre 2017 il Garante ha comunicate che sono state pubblicate le Linee guida ad uso delle Pubbliche Amministrazioni e le imprese nella valutazione di impatto sulla protezione dei dati DPIA – Data Protection Impact Assessment.

Prima di passare ad illustrare le Linee guida (compito che sarà affrontato in un successivo articolo) forniamo alcuni chiarimenti riguardanti l’istituto in oggetto.

La valutazione di impatto dei rischi, connessi al trattamento di determinate categorie di dati, è stato oggetto di disciplina comunitaria sia attraverso l’art. 35 del Regolamento 679/2016 UE sia con i considerando ad esso riferiti, precisamente il C.84, C.89, C.93 e C.95, la cui lettura permette di comprendere meglio le intenzioni del legislatore.
 

L'articolo continua dopo la pubblicità

Per aiutarti nell'adempimenti pronto il Software Privacy in divere configurazioni. Trattamenti illimitati a partire da 129 euro + iva

Puo interessarti il Pacchetto contenente tre e-book:  Tutela della Privacy disponibili anche in vendita singola:

Segui anche il Dossier gratuito dedicato alla Privacy

1) Il "Considerando" C.84, C.89, C.93 e C.95

C.84

Si richiamano i titolari del trattamento a compiere una valutazione dell’impatto sulla protezione dei dati al fine di determinare “l’origine, la natura, la particolarità e la gravità di tale rischio”.
Tale attività di valutazione dovrebbe essere propedeutica all’approntamento “delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento.”.
È prevista la consultazione del Garante nella ipotesi in cui il trattamento in questione presenti rischi elevati che non possono essere attenuati dal titolare.

C.89

Partendo dalla constatazione che, la direttiva 95/46 CE obbligava i titolari del trattamento a notificare ai Garanti nazionali il trattamento dei dati e che suddetto adempimento, a fronte di una serie di oneri amministrativi e finanziari, non ha portato ad effettivi benefici in materia di tutela del trattamento dei dati personali, al punto che tali obblighi vanno aboliti  “e sostituiti con  meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità”.
La valutazione andrà compiuta, soprattutto, in riferimento a quei trattamenti che comportano l’utilizzo di nuove tecnologie o quelli di nuovo tipo, rispetto ai quali il titolare non ha ancora effettuato una valutazione di impatto.

C.93

Nel caso in cui i singoli Stati membri non abbiano ancora adottato leggi che disciplinino l’attività delle autorità pubbliche di controllo, essi possono “ritenere necessario effettuare tale valutazione prima di procedere alle attività di trattamento”.

C.95

Su richiesta del titolare che effettua una valutazione di impatto il responsabile lo “dovrebbe assistere”, fornendogli tutte le informazioni in suo possesso oltre al suo know-out al fine di facilitarlo nella esecuzione di tale adempimento.

2) I compiti del Titolare del trattamento dei dati personali

Il Regolamento, all’art. 35, obbliga il Titolare del trattamento ad effettuare una valutazione di impatto sui rischi che possono incidere sulla protezione dei dati, tenuto conto della natura, dell’oggetto, o delle finalità del trattamento (cd. Data Protection Impact Assessment, D.P.I.A.). Il Titolare deve chiedere al Data Protection Officer un parere in merito al Piano. La valutazione d'impatto sulla protezione dei dati è richiesta in particolare nel caso di:

  • valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sugli interessati;
  • trattamento, su larga scala, di categorie particolari di dati personali (sensibili o giudiziari);
  • sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

I compiti che ricadono sul Titolare e sul responsabile del trattamento sono agevolati dal fatto che l’Autorità di controllo si onera di redigere e pubblicizzare l’elenco dei trattamenti da sottoporre preventivamente ad una valutazione di impatto.
Così come, sempre l’Autorità di controllo potrà provvedere a redigere un elenco dei trattamenti esonerati da tale valutazione; l’Autorità di controllo prima di adottare gli elenchi dei trattamenti che presuppongono una valutazione di impatto e di quelli che ne sono esonerati, ricorre al meccanismo di coerenza.
Al fine di garantire una applicazione uniforme del Regolamento il Legislatore ha previsto che la valutazione dovrà contenere almeno:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal Titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento.

Mentre il d.lgs. n. 196/2003 faceva esplicita menzione delle misure minime di sicurezza che il Titolare doveva applicare prima di dare l’avvio al trattamento dei dati e indicava, altresì le misure idonee intese quali misure aggiuntive rispetto alle misure minime, tali indicazioni mancano nel Regolamento, ciò però non esime il Titolare – dopo avere effettuato una autovalutazione dei rischi – dall’adottare le misure di sicurezza richieste per la messa in sicurezza dei dati personali oggetto di trattamento.
Pertanto, le misure minime rappresentano, ai sensi del Codice in materia di protezione dei dati personali, una sorta di ceck list che permette ai Titolari di essere conformi alla normativa di settore, l’aspetto negativo di tale approccio è che la compliance non coincide (o non coincide sempre) con la reale sicurezza.
Il Regolamento affronta, invece, la problematica da un’altra angolazione: la sicurezza garantisce la conformità e non viceversa; di conseguenza, ciò si traduce nell’asserzione che se si è sicuri si è anche compliance.
 

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

3) Questioni sollevate dalla Commissione Europea Commissione Europea - COM (2012)11

La Commissione Europea – COM (2012) 11 final, nel "Documento di Lavoro dei Servizi della Commissione - Sintesi della Valutazione d'impatto", ha individuato tre problemi da analizzare: 

4) Problema 1: ostacoli per le imprese e le Autorità pubbliche

Il primo problema sollevato dalla Commissione Europea, riguarda gli ostacoli per le imprese e le Autorità pubbliche derivanti dalla frammentazione, dall'incertezza giuridica e dall'applicazione non coerente.
Sebbene la direttiva miri a garantire un livello equivalente di protezione dei dati nell'Unione, tra i vari Stati membri persistono notevoli differenze quanto a norme applicate. Di conseguenza, i responsabili del trattamento possono trovarsi di fronte a 27 legislazioni e requisiti nazionali diversi all'interno dell'Unione. Ne risulta un quadro normativo frammentato che genera incertezza giuridica e porta a una protezione diseguale delle persone fisiche. Tale situazione produce costi inutili e oneri amministrativi per le imprese e disincentiva le imprese, in particolare le PMI, che operano nel mercato unico dall'espandere le loro attività all'estero.
Inoltre le risorse e i poteri delle Autorità nazionali di protezione dei dati variano notevolmente da uno Stato membro all'altro. In alcuni casi ciò significa che tali Autorità non sono in grado di esercitare i compiti di controllo in modo soddisfacente. La cooperazione tra le Autorità nazionali di protezione dei dati a livello europeo -attraverso l'attuale gruppo consultivo (gruppo di lavoro "art. 29") - non garantisce sempre un'applicazione coerente della normativa e pertanto occorre migliorarla.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

5) Problema 2: difficoltà di mantenere il controllo dei propri dati personali

Il secondo problema sollevato dalla Commissione Europea, riguarda le difficoltà, per le persone fisiche, di mantenere il controllo dei propri dati personali.
A causa di questa assenza di armonizzazione delle legislazioni nazionali sulla protezione dei dati e dei poteri diseguali delle Autorità di protezione dei dati, l'esercizio dei diritti da parte delle persone fisiche è più difficile in alcuni Stati membri rispetto ad altri, soprattutto in ambito on line.
Il singolo, inoltre, ha perso il controllo dei propri dati, in quanto il volume di dati scambiati ogni giorno è immenso e spesso l'interessato non è pienamente consapevole del fatto che i suoi dati personali vengono raccolti.

Problema 3: lacune e incoerenze nella cooperazione di polizia e giudiziaria penale

Il terzo problema sollevato dalla Commissione Europea, riguarda le lacune e incoerenze nella protezione dei dati personali nel settore della cooperazione di polizia e giudiziaria in materia penale

La direttiva, che si fonda su una base giuridica del mercato interno, esclude specificamente dal suo campo di applicazione la cooperazione di polizia e giudiziaria in materia penale. La decisione quadro, adottata nel 2008 per disciplinare il trattamento dei dati nell'ambito della cooperazione di polizia e giudiziaria in materia penale riflette le particolarità della struttura a pilastri dell'Unione prima dell'entrata in vigore del trattato di Lisbona; caratterizzata da un campo di applicazione limitato, varie lacune che generano incertezza giuridica per le persone fisiche e le Autorità di contrasto, nonché difficoltà pratiche in termini di applicazione. Inoltre la decisione quadro prevede numerose possibilità di deroga ai principi generali della protezione dei dati a livello nazionale, e quindi non ne garantisce l'armonizzazione. Tale approccio, non solo rischia di privare di contenuto detti principi – e quindi di pregiudicare il diritto fondamentale delle persone fisiche alla protezione dei loro dati personali in questo settore – ma anche di ostacolare il corretto scambio di dati personali tra le Autorità nazionali competenti.

In merito a tale tematica il legislatore comunitario ha predisposto un importante apparato sanzionatorio, stabilendo che Il Titolare e il Responsabile che violano gli obblighi ex art. 35, sono soggetti a sanzione amministrativa pecuniaria fino a € 10.000.000 o per le imprese fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. (art. 83, comma 4, lettera a Reg.).  (segue)

Linee guida sulla valutazione di impatto privacy (parte seconda)

La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.