HOME

/

DIRITTO

/

PRIVACY 2024

/

LINEE GUIDA SULLA VALUTAZIONE DI IMPATTO PRIVACY (PARTE SECONDA)

Linee guida sulla valutazione di impatto privacy (parte seconda)

Garante privacy 2017. La DPIA alla luce delle nuove linee guida sulla valutazione di impatto privacy.

Ascolta la versione audio dell'articolo

Partendo dal presupposto che il 25 maggio 2018 diverrà applicabile il Regolamento (UE) n. 679/2016, il Gruppo di lavoro sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, ha fornito delle linee guida relative alla “valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento ‘possa presentare un rischio elevato’, ai sensi del regolamento 2016/679”.

Leggi qui la prima parte Linee guida sulla valutazione di impatto privacy (Parte prima)

L'articolo continua dopo la pubblicità

Per aiutarti nell'adempimenti pronto il Software Privacy in divere configurazioni. Trattamenti illimitati a partire da 129 euro + iva

Puo interessarti il Pacchetto contenente tre e-book:  Tutela della Privacy disponibili anche in vendita singola:

Segui anche il Dossier gratuito dedicato alla Privacy

1) Le Linee guida riguardo alla DPIA

Nelle Linee guida si legge che l’obbligo di effettuare una DPIA deve essere collocato nel contesto del più generale obbligo imposto ai titolari di gestire correttamente i rischi connessi al trattamento di dati personali.
E’, altresì, contenuta una serie di definizioni in base alle quali per “rischio” si intende uno scenario che va a descrivere un evento e le relative conseguenze che sono stimate in termini di gravità e probabilità.
Mentre, la “gestione del rischio” consiste in un insieme di attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio.
Se da un lato non è obbligatorio condurre una DPIA per ogni singolo trattamento, la obbligatorietà scatta solo nell’ipotesi in cui una determinata tipologia di trattamenti può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il compito di stabilire quali trattamento sottoporre alla DPIA è rimesso al titolare che deve valutare, in modo continuativo, i rischi creati dai propri trattamenti al fine di individuare quelli che richiedono l’espletamento di una indagine in tale senso.
In linea di massima, la DPIA riguarda un singolo trattamento ma può essere utilizzata anche per valutare più trattamenti che presentano analogie riguardo alla natura, all’ambito, al contesto, alle finalità ed ai rischi.
Altra fattispecie presa in esame dalle Linee guida attiene all’ipotesi in cui il trattamento sia svolto in contitolarità, per cui è necessario che ciascun contitolare definisca con precisione gli obblighi che lo riguardano. La DPIA dovrebbe esplicitare chi ha la responsabilità delle singole misure finalizzate alla gestione dei rischi e alla tutela dei diritti e delle libertà degli interessati.

2) Quando procedere ad eseguire la DPIA?

La DPIA va condotta quando il trattamento può presentare un rischio elevato. A tale scopo le Linee guida individuano nove criteri che il titolare deve prendere in esame:

  1. trattamenti che hanno ad oggetto la valutazione, il punteggio (scoring), compresa la profilazione e le attività prognostiche, in particolare per quelle che attengono ad “aspetti riguardanti il rendimento professionale, la situazione patrimoniale, la salute, le preferenze, (omissis)”;
  2. le decisioni automatizzate dalle quali scaturiscono effetti giuridici significativi;
  3. il monitoraggio sistematico degli interessati compresa la raccolta di dati attraverso sistemi di sorveglianza di un’area accessibile al pubblico;
  4. i dati sensibili o i dati di natura estremamente personale;
  5. trattamenti di dati su larga scala, avendo come elementi di riferimento: il numero di soggetti interessati dal trattamento, il volume dei dati oggetto di trattamento, la durata dell’attività di trattamento e l’ambito geografico dell’attività di trattamento;
  6. la combinazione o il raffronto di insiemi di dati;
  7. i dati relativi a interessati vulnerabili, questa categoria comprende anche i minori, i dipendenti e “ogni interessato per il quale si possa identificare una situazione di disequilibrio, nel rapporto con il rispettivo titolare del trattamento”;
  8. l’impiego di nuove soluzioni tecnologiche o organizzative, come l’esame delle impronte digitali messe in relazione con l’impronta del viso, ecc.;
  9. i trattamenti che impediscono all’interessato di esercitare un diritto o di avvalersi di un servizio o di un contratto.

Se il titolare ravvisa che un trattamento soddisfa due dei nove criteri sopra elencati deve condurre una DPIA.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

3) Quando si può evitare di condurre una DPIA?

La DPIA, invece, non è necessaria nei seguenti casi:

  1. se il trattamento non può comportare un rischio elevato per i diritti e le libertà di persone fisiche;
  2. se la natura, l’ambito, il contesto e le finalità del trattamento sono molto simili a quelli del trattamento per cui è già stata condotta una DPIA,
  3. se il trattamento è stato sottoposto a verifica da parte di un’autorità di controllo prima del maggio 2018 e non siano intercorse, nel frattempo, modifiche significative al trattamento;
  4. per i trattamenti effettuati per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, così come per i trattamenti necessari per eseguire un compito di interesse pubblico o connesso all’esercizio di un pubblico potere di cui è investito il titolare del trattamento, sottoposti a disciplina legale comunitaria o da parte di uno Stato membro e che siano già sottoposti a DPIA;
  5. se il trattamento è compreso nell’elenco facoltativo redatto dall’autorità di controllo nazionale dei trattamenti.

4) Quando e come il titolare del trattamento deve eseguire la DPIA

Per i trattamenti già in corso, la DPIA sarà condotta per quelli “che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e per i quali siano intervenute variazioni dei rischi tenuto conto della natura, dell’ambito, del contesto e delle finalità dei trattamenti stessi.”.
Ai sensi dell’art. 35 del Regolamento, la DPIA dovrebbe essere condotta prima di procedere al trattamento, anche se essa è un processo permanente, soprattutto se si ha a che fare con un trattamento dinamico e soggetto a continue trasformazioni.

Il titolare ha l’onere di garantire l’effettuazione di una DPIA, e deve avvalersi del DPO e/o del responsabile del trattamento. Poiché tale consulto costituisce un obbligo, sia il consulto che le decisioni adottate dal titolare devono essere documentate all’interno della DPIA.
Il titolare raccoglie le opinioni degli interessati o dei loro rappresentanti. Se la decisione presa dal titolare si discosta dall’opinione degli interessati, è suggerito al titolare di documentare le motivazioni che hanno condotto alla prosecuzione o meno del progetto. Così come, il titolare dovrebbe motivare anche documentare la mancata consultazione degli interessati, qualora decida che quest’ultima non sia opportuna.
Il considerando 90 del Regolamento indica come una DPIA miri a gestire i rischi per i diritti e le libertà delle persone fisiche attraverso i seguenti processi:

  • definizione del contesto;
  • valutazione dei rischi;
  • gestione dei rischi.

Non è obbligatoria la pubblicazione della DPIA ma essa potrebbe essere opportuna, in una ottica di trasparenza, anche solo in parte.
Se la DPIA indica l’esistenza di un rischio residuale elevato, il titolare dovrà consultare l’autorità di controllo prima di procedere al trattamento

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

5) Le sanzioni

E’ previsto un apparato sanzionatorio che si applica in caso di:

  • mancato svolgimento della DPIA,
  • quando il trattamento la richiedeva;
  • una non corretta DPIA;
  • mancata consultazione dell’autorità di controllo competente, ove ciò sia necessario. Una o più di queste violazioni possono comportare l’irrogazione di una sanzione amministrativa pecuniaria fino ad un massimo di 10 milioni di Euro o, se si tratta di un’impresa – fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore.
La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.