Rapporti di lavoro

Le linee guida europee sulla valutazione di impatto della privacy

di Pietro Gremigni

In vista dell'entrata in vigore delle regole Ue sul rispetto della privacy dal 25 maggio 2018, il Garante della privacy (newsletter 30 ottobre 2017, n.434) ha pubblicato le linee guida adottate dai garanti europei per la valutazione di impatto sulla protezione dei dati (in inglese Dpia). Si tratta di una delle importanti novità che entreranno in vigore dal maggio 2018 e che cambierà sensibilmente il modo di gestire la privacy.

Una Dpia consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per la privacy dei dati personali. La mancata, scorretta o ritardata valutazione può comportare l'irrogazione di sanzioni pecuniarie molto pesanti.

La Dpia è obbligatoria solo se si è in presenza di una rischio elevato per i diritti personali derivanti dai trattamenti dati, oppure di un singolo trattamento o infine a seguito dell'installazione di un nuovo dispositivo tecnologico.

Rischio elevato - Sono considerati a elevato rischio i seguenti trattamenti: trattamenti valutativi – trattamenti automatici che producono effetti giuridici (perdita di status) – monitoraggio sistematico – dati sensibili – combinazione di dati – interessi vulnerabili (ad es. con minori) – introduzione di nuove tecnologie. Le linee guida ritengono interessati a un Dpia ad esempio i trattamenti dati effettuati da un'azienda che controlla sistematicamente le attività dei dipendenti, compreso l'utilizzo dei terminali informatici e la navigazione su internet. Qualora il titolare non ritenga necessario fare una Dpia dovrà motivare la scelta e documentarla.

Esclusioni della Dpia - La Dpia non è obbligatoria, oltre a quando non ricorra un rischio elevato, quando sia molto simile ad altri trattamenti per cui è già stata effettuata, o quando è stato già sottoposto a verifica da un'autorità di controllo prima del maggio 2018, o ha una sua base legale o fa parte di qualche esclusione fornita dall'autorità di controllo.

Modalità - La Dpia va effettuata prima di procedere ai trattamenti dei dati. In ogni caso è dinamica in quanto i trattamenti dati sono soggetti a modifiche e trasformazioni e va rifatta in casi del genere.

Deve essere condotta dal titolare e dal responsabile del trattamento dati.
La Dpia consiste nel:
- descrivere i trattamenti e le finalità;
- valutare la necessità e la proporzionalità del trattamento;
- valutarne i rischi e ridurne la portata dimostrando l'osservanza del regolamento comunitario;
- descrivere le misure previste per affrontare i predetti rischi.
Se il titolare non è in grado di ridurre i rischi a livello accettabile deve infine consultare l'autorità garante.

Per saperne di piùRiproduzione riservata ©