header-banner-image

Privacy

Linee-guida concernenti la valutazione di impatto sulla protezione dei dati

Data: 27 Novembre 2017 Ore: 12:58

Criteri riferiti a una DPIA accettabile

Il WP29 propone i seguenti criteri utilizzabili dai titolari di trattamento per stabilire se una DPIA, o una metodologia specifica di DPIA, comprenda un numero di elementi sufficienti a garantire il rispetto delle disposizioni del regolamento:
• descrizione sistematica del trattamento (art. 35, paragrafo 7, lettera a) ):
o si tiene conto della natura, dell'ambito, del contesto e delle finalità del trattamento (considerando 90);
o sono indicati i dati personali oggetto del trattamento, i destinatari e il periodo previsto di conservazione dei dati stessi;
o si dà una descrizione funzionale del trattamento;
o si specificano gli strumenti coinvolti nel trattamento dei dati personali (hardware, software, reti, persone, supporti cartacei o canali di trasmissione cartacei);
o si tiene conto dell'osservanza di codici di condotta approvati (art. 35, paragrafo 8);
• valutazione di necessità e proporzionalità del trattamento (art. 35, paragrafo 7, lettera b) ):
o si definiscono le misure previste per rispettare il regolamento (art. 35, paragrafo 7, lettera d) e considerando 90) tenendo conto di quanto segue:

  •  misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:

• finalità specifiche, esplicite e legittime (art. 5(1), lettera b) );
• liceità del trattamento (art. 6);
• dati adeguati, pertinenti e limitati a quanto necessario (art. 5(1)c) );
• periodo limitato di conservazione (art. 5(1), lettera e) );

  • misure che contribuiscono ai diritti degli interessati:

• informazioni fornite agli interessati (artt. 12, 13, 14);
• diritto di accesso e portabilità dei dati (artt. 15 e 20);
• diritto di rettifica e cancellazione (artt. 16, 17, 19); diritto di opposizione e limitazione del trattamento (artt. 18,19, 21);
• rapporti con responsabili del trattamento (art. 28);
• garanzie per i trasferimenti internazionali di dati (Capo V);
• consultazione preventiva (art. 36);
• gestione dei rischi per i diritti e le libertà degli interessati (art. 35, paragrafo 7, lettera c):
o si determinano l'origine, la natura, la particolarità e la gravità dei rischi (v. considerando 84) o, in modo più specifico, di ogni singolo rischio (accesso illegittimo, modifiche indesiderate, indisponibilità dei dati) dal punto di vista degli interessati:

  • si tiene conto delle fonti di rischio (considerando 90);
  • si identificano gli impatti potenziali sui diritti e le libertà degli interessati in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilità dei dati;
  • si identificano le minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilità dei dati;
  • si stimano probabilità e gravità (considerando 90);

o si stabiliscono le misure previste per gestire i rischi di cui sopra (art. 35, paragrafo 7, lettera d) e considerando 90);
• coinvolgimento dei soggetti interessati:
o si chiede consulenza al RPD/DPO (art. 35, paragrafo 2);
o si sentono gli interessati o i loro rappresentanti (art. 35, paragrafo 9), se del caso.

24 Occorre sottolineare che il processo raffigurato ha natura iterativa; in pratica, è verisimile che ogni fase debba essere ripetuta più volte prima di completare la DPIA.


Avere una Società di Consulenza di supporto rappresenta per l'azienda la possibilità di raggiungere e mantenere la conformità legislativa e di essere affiancata in qualsiasi tipo di ispezione e controllo da professionisti in grado di rispondere efficacemente e reperire la documentazione richiesta.

Consulenza Privacy

Focus-Privacy-Linee-guida concernenti la valutazione di impatto sulla protezione dei dati