header-banner-image

Privacy

Linee-guida concernenti la valutazione di impatto sulla protezione dei dati

Data: 27 Novembre 2017 Ore: 12:06

Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679
Adottate il 4 aprile 2017
Versione successivamente emendata e adottata il 4 ottobre 2017

Il Gruppo è stato istituito dall'art. 29 della direttiva 95/46, è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione.
INDICE
I. Introduzione
II. Oggetto
III. DPIA: cosa prevede il regolamento
A. Qual è l'oggetto della DPIA? Un singolo trattamento ovvero un insieme di trattamenti simili
B. Quali trattamenti sono soggetti a DPIA? Salvo eccezioni, qualora un trattamento "possa presentare un rischio elevato".
a. Quando sussiste l'obbligo di condurre una DPIA? Qualora un trattamento "possa presentare un rischio elevato"
b. Quando non è necessario condurre una DPIA? Quando il trattamento non "può comportare un rischio elevato", o esiste una DPIA analoga, o è già stato autorizzato prima del maggio 2018, o ha una base legale, o compare nell'elenco dei trattamenti per i quali non è richiesta una DPIA
C. Per quanto riguarda i trattamenti già in corso? Una DPIA è richiesta in talune circostanze
D. Come si effettua una DPIA?
a. Quando è opportuno condurre la DPIA? Prima di procedere al trattamento
b. Chi è tenuto a condurre la DPIA? Il titolare, insieme al RPD e al responsabile (o ai responsabili) del trattamento
c. Quale metodologia deve essere applicata per condurre una DPIA? Vi possono essere metodologie diverse, ma i criteri devono essere gli stessi
d. È obbligatorio pubblicare la DPIA? No, ma pubblicarne una sintesi può promuovere un rapporto fiduciario, e la documentazione integrale della DPIA deve essere trasmessa all'autorità di controllo in caso di consultazione preventiva ovvero su richiesta dell'autorità stessa
E. Quando occorre consultare l'autorità di controllo? Se i rischi residuali sono elevati

Criteri riferiti a una DPIA accettabile
Il WP29 propone i seguenti criteri utilizzabili dai titolari di trattamento per stabilire se una DPIA, o una metodologia specifica di DPIA, comprenda un numero di elementi sufficienti a garantire il rispetto delle disposizioni del regolamento:

  • descrizione sistematica del trattamento (art. 35, paragrafo 7, lettera a) ):
  1. si tiene conto della natura, dell'ambito, del contesto e delle finalità del trattamento (considerando 90);
  2. sono indicati i dati personali oggetto del trattamento, i destinatari e il periodo previsto di conservazione dei dati stessi;
  3. si dà una descrizione funzionale del trattamento;
  4. si specificano gli strumenti coinvolti nel trattamento dei dati personali (hardware, software, reti, persone, supporti cartacei o canali di trasmissione cartacei);
  5. si tiene conto dell'osservanza di codici di condotta approvati (art. 35, paragrafo 8);
  • valutazione di necessità e proporzionalità del trattamento (art. 35, paragrafo 7, lettera b) ):

o si definiscono le misure previste per rispettare il regolamento (art. 35, paragrafo 7, lettera d) e considerando 90) tenendo conto di quanto segue:

  1. misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:
  • finalità specifiche, esplicite e legittime (art. 5(1), lettera b) );
  • liceità del trattamento (art. 6);
  • dati adeguati, pertinenti e limitati a quanto necessario (art. 5(1)c) );
  • periodo limitato di conservazione (art. 5(1), lettera e) );

         2. misure che contribuiscono ai diritti degli interessati:

  • informazioni fornite agli interessati (artt. 12, 13, 14);
  • diritto di accesso e portabilità dei dati (artt. 15 e 20);
  • diritto di rettifica e cancellazione (artt. 16, 17, 19); diritto di opposizione e limitazione del trattamento (artt. 18,19, 21);
  • rapporti con responsabili del trattamento (art. 28);
  • garanzie per i trasferimenti internazionali di dati (Capo V);
  • consultazione preventiva (art. 36);
  • gestione dei rischi per i diritti e le libertà degli interessati (art. 35, paragrafo 7, lettera c):

o si determinano l'origine, la natura, la particolarità e la gravità dei rischi (v. considerando 84) o, in modo più specifico, di ogni singolo rischio (accesso illegittimo, modifiche indesiderate, indisponibilità dei dati) dal punto di vista degli interessati:

  1. si tiene conto delle fonti di rischio (considerando 90);
  2. si identificano gli impatti potenziali sui diritti e le libertà degli interessati in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilità dei dati;
  3. si identificano le minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilità dei dati;
  4. si stimano probabilità e gravità (considerando 90);

o si stabiliscono le misure previste per gestire i rischi di cui sopra (art. 35, paragrafo 7, lettera d) e considerando 90);

  • coinvolgimento dei soggetti interessati:

o si chiede consulenza al RPD/DPO (art. 35, paragrafo 2);
o si sentono gli interessati o i loro rappresentanti (art. 35, paragrafo 9), se del caso.


24 Occorre sottolineare che il processo raffigurato ha natura iterativa; in pratica, è verisimile che ogni fase debba essere ripetuta più volte prima di completare la DPIA.


Avere una Società di Consulenza di supporto rappresenta per l'azienda la possibilità di raggiungere e mantenere la conformità legislativa e di essere affiancata in qualsiasi tipo di ispezione e controllo da professionisti in grado di rispondere efficacemente e reperire la documentazione richiesta.

Consulenza Privacy

Consulenza Sicurezza delle Informazioni ISO 27001

Consulenza Risk Management ISO 31000

ALLEGATI
Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679
Scarica l'allegato
Valutazione di impatto sulla protezione dei dati DPIA. Quando Effettuarla?
Scarica l'allegato
Valutazione di impatto sulla protezione dei dati DPIA Art. 35 del Regolamento UE / 2016 / 679
Scarica l'allegato