• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina
via Garofalo 29, 20133 Milano - tel. 02 29408650
  • Home
  • News
  • Chi siamo
  • Contatti

Programma Radon

Ente Accreditato Regione Lombardia N. 1027/2017

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente
Ti trovi qui: Home / Approfondimenti / Valutazione di impatto sui dati: chiarimenti

Valutazione di impatto sui dati: chiarimenti

10 Novembre 2017 di Valeria Carozzi 3 commenti

Come dimostra questo articolo pubblicato su PMI.it continua a esserci grande confusione e poca chiarezza sul tema privacy 2018. Sempre con la logica di aiutare le imprese a orientarsi nel labirinto di informazioni, questo mese affrontiamo la tematica legata alla valutazione di impatto sulla protezione dei dati personali (DPIA), soggetti obbligati e modalità di svolgimento.

In generale

L’articolo 35 del GDPR definisce l’obbligo in determinate circostanze di redigere un Data Protection Impact Assessment finalizzato a descrivere il trattamento, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati. I contenuti minimi prevedono: una descrizione sistematica dei trattamenti previsti e delle relative finalità; la valutazione della necessità e proporzionalità dei trattamenti; la valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare tali rischi.

La mancata o scorretta effettuazione di tale valutazione ove prevista comporta l’applicazione di sanzioni amministrative pecuniarie fino a 10 mln di euro o 2% del fatturato in caso di multinazionali.

Che cosa deve essere valutato

Innanzitutto è possibile utilizzare una unica Valutazione di impatto per valutare più trattamenti che presentino analogie in termini di natura, ambito, contesto, finalità e rischi, dato che lo scopo della DPIA è quello di fare una analisi sistematica di situazioni nuove che potrebbero comportare rischi elevati per i diritti e le libertà delle persone fisiche. Nel caso il trattamento fosse svolto in contitolarità, nella DPIA devono essere identificate le responsabilità di ciascuno per quanto attiene la valutazione dei rischi e la tutela dei diritti e delle libertà dell’interessato.

In particolare la DPIA è uno strumento utilissimo quando si tratta di valutare l’impatto di un nuovo dispositivo tecnologico, sia esso Hardware o Software, come possono essere tutti quelli collegati per esempio all’Internet Of Things.

Cosa si intende però con “rischi elevati per i diritti e le libertà delle persone fisiche”? Per poter rispondere in modo concreto a questa domanda bisogna far riferimento ai seguenti 9 criteri proposti dal gruppo di lavoro europeo:

  1. Trattamenti valutativi di scoring: includono la profilazione e le attività predittive, in particolare quando si parla di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione e gli spostamenti dell’interessato. Si pensi per esempio agli screening fatti in ambito finanziario ricorrendo a DB di rischio creditizio; ai test genetici effettuati per predire eventuali patologie; alla creazione di profili comportamentali ai fini marketing, …
  2. Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura: quali per esempio trattamenti che possano escludere l’interessato da determinati benefici (erogazione di un mutuo o di una copertura assicurativa) o la sua discriminazione.
  3. Monitoraggio sistematico: trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o la sorveglianza sistematica di luoghi pubblici, situazioni nelle quali spesso l’interessato non si rende conto di essere soggetto a monitoraggio e facilmente non può sottrarvisi.
  4. Dati sensibili o di natura estremamente personale: che possono riguardare ad esempio ospedali; investigatori privati; informazioni relative a vita familiare o privata; dati sull’ubicazione o gli spostamenti e via dicendo, tutte informazioni la cui violazione può comportare un grave impatto sulla vita quotidiana dell’interessato.
  5. Trattamenti di dati su larga scala: definizione che abbiamo già affrontato nell’articolo dedicato al DPO e che in sintesi prende in considerazione il numero di soggetti interessati al trattamento, il volume dei dati trattati; la durata o persistenza dell’attività e l’ambito geografico dell’attività.
  6. Combinazione o raffronto di insiemi di dati: per esempio derivanti da due o più trattamenti, svolti per diverse finalità e/o da titolari distinti, motivo per il quale probabilmente l’interessato non sa di essere oggetto del confronto.
  7. Dati relativi a interessati vulnerabili: che portano con sè uno squilibrio fra interessato e titolare del trattamento e che includono ad esempio il trattamento di dati relativi a minori, dipendenti, categorie affette da patologie psichiatriche, e via dicendo.
  8. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative: questo perchè il ricorso ad una nuova tecnologia può generare forme innovative di raccolta e utilizzo dei dati cui può associarsi un rischio elevato per i diritti e le libertà dell’interessato.
  9. Tutti quei trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o contratto: cosa che include tutti i trattamenti finalizzati a consentire, modificare o negare l’accesso degli interessati a un servizio o contratto.

Nella maggioranza dei casi se almeno due dei predetti criteri risultano applicabili allora è necessario procedere con la DPIA, anche se nulla esclude che in riferimento ad un particolare trattamento basti che sia applicabile un unico criterio o, viceversa, il trattamento non implica un rischio elevato per l’interessato e quindi non è necessario procedere anche in presenza di molteplici criteri. La DPIA è poi una valutazione dinamica, da mantenere costantemente aggiornata a intervalli regolari e che va fatta anche per tutti i trattamenti già in atto che rappresentano un elevato rischio per gli interessati e che non siano stati oggetto di verifica preliminare da parte del Garante.

Casi di esclusione

Vengono esplicitamente esclusi tutti quei trattamenti che:

  • non comportano un rischio elevato per i diritti e le libertà dell’interessato
  • sono assimilabili per natura, finalità e contesto ad altri trattamenti per cui sia già stata svolta una DPIA
  • sono stati sottoposti a verifica del Garante prima del maggio 2018 e non hanno subito modifiche
  • trovano base legale nel diritto della UE o dello stato membro
  • sono ricompresi nell’elenco facoltativo che verrà redatto dal Garante nel corso del tempo

Come si svolge una DPIA

La valutazione di impatto è una attività che deve essere effettuata prima dell’avvio del trattamento e la cui responsabilità è in capo al Titolare, che dovrebbe consultarsi per la sua effettuazione con il Data Protection Officer e con gli eventuali responsabili esterni incaricati di determinati trattamenti. Per quanto riguarda la consultazione è poi fondamentale in azienda coinvolgere i responsabili dei Servizi Informativi il cui supporto è essenziale nella valutazione dei rischi. E’ inoltre previsto, “se del caso”, che il titolare raccolga le opinioni degli interessati, per esempio tramite questionari o sondaggi, valuti la loro opinioni e documenti le sue decisioni tenendo conto delle opinioni raccolte. Se questa consultazione non viene avviata il Titolare deve giustificarne il motivo.

Il processo di valutazione deve seguire i passaggi illustrati nel seguente schema:

 

Dando per assodato che si attendono chiare indicazioni sulla metodologia da seguire da parte del Garante auspicabilmente su base settoriale, in ogni caso il Titolare nel fare la sua Valutazione deve attenersi scrupolosamente ai criteri previsti nell’Allegato 2 delle linee guida. Se al termine della valutazione emerge un rischio residuale elevato, il Titolare è tenuto a consultare il Garante prima di procedere col trattamento.

Il documento finale è di esclusiva proprietà del Titolare che è tenuto a condividerlo col Garante in caso di richiesta e che può diventare un ottimo strumento per incrementare il rapporto di fiducia coi propri clienti se presentato loro in modo sintetico e semplificato, per esempio allegandolo a determinati contratti o inserendolo nelle informative.

In sintesi estrema…

Il titolare nei casi in cui il trattamento possa presentare rischi elevati per i diritti dell’interessato deve:

  • scegliere una metodologia specifica per la valutazione di impatto che rispetti i criteri dell’allegato 2
  • svolgere tale attività come parte integrante dei processi esistenti relativi alla progettazione, sviluppo, modifica delle proprie attività
  • coinvolgere tutti i soggetti che hanno responsabilità nel trattamento (DPO, responsabili esterni, sistemi informativi, aree business, etc)
  • fornire al Garante la relazione finale nei casi previsti
  • consultare il Garante per individuare misure di sicurezza migliori o più efficaci
  • riesaminare periodicamente la valutazione e documentare le decisioni assunte
Fonte: “Linee guida concernenti la Valutazione di impatto sulla protezione dei dati ” 17/EN WP248 

Archiviato in:Approfondimenti, Privacy, Privacy Contrassegnato con: consulenza, privacy

Interazioni del lettore

Trackback

  1. Marketing e Privacy: l’uno non esclude l’altra ha detto:
    4 Dicembre 2017 alle 14:17

    […] tutti i titolari che svolgono attività di profilazione su larga scala sono tenuti a fare una Valutazione di impatto sui dati ( vedi articolo dedicato)  ai fini di descrivere il trattamento, valutarne necessità e proporzionalità e facilitare la […]

    Rispondi
  2. Marketing e Privacy: l’uno non esclude l’altra ha detto:
    29 Gennaio 2018 alle 9:03

    […] tutti i titolari che svolgono attività di profilazione su larga scala sono tenuti a fare una Valutazione di impatto sui dati (vedi articolo dedicato) ai fini di descrivere il trattamento, valutarne necessità e proporzionalità e facilitare la […]

    Rispondi
  3. Come costruire una informativa conforme al GDPR ha detto:
    2 Febbraio 2018 alle 17:03

    […] una logica di trasparenza può valer la pena condividere con gli interessati le conclusioni della Valutazione di impatto  (vedi approfondimento) o i criteri che dimostrino che i processi del titolare sono ispirati ai principi di privacy by […]

    Rispondi

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Ti potrebbe interessare anche

  • CRM: pillole di privacy

    27 Ottobre 2022
  • Google Analytics 4: le precisazioni del garante Danese

    27 Ottobre 2022
  • Novità sul trasferimento dei dati in America

    27 Ottobre 2022
  • La gestione della Mailbox del dipendente

    1 Luglio 2022
  • Attenzione a Google Analytics

    27 Giugno 2022
  • Stai valutando un Password Manager?

    7 Giugno 2022
  • Al via le Class Action privacy

    7 Giugno 2022
  • Come bloccare le telefonate indesiderate sul cellulare

    21 Aprile 2022
  • Indicazioni di cybersicurezza in tempi di guerra

    22 Marzo 2022
  • Come gestire una Ispezione Privacy

    15 Febbraio 2022

I nostri servizi

ambiente antincendio assistenza legale bandi bando benessere organizzativo bonus fiscali consulenza cookie coronavirus covid-19 covid19 enti controllo formazione gestione e comunicazione interna imballaggi medicina del lavoro misurazione movimentazione carichi normativa norme tecniche pratiche burocratiche privacy procedure e istruzioni operative radon sicurezza sistemi di gestione smart working smartworking sostenibilita' SOSTENIBILITà stress stress lavoro correlato sviluppo organizzativo valutazioni tecniche e misurazioni

Footer

Contatti

via Garofalo 29
20133 Milano
tel. 02 29408650

info@prograd.it
inviodoc@pec.programmaradon.it

   

Informazioni

Orari di ufficio
Dal lunedì al venerdì
ore 9.00 – 13.00
ore 14.00 – 18.15

Informative
Trattamento dei dati personali
Informativa cookies
Condizioni di vendita
Politica della qualità

Certificazioni

Aree di competenza

  • Privacy
  • Sviluppo organizzativo
  • Sicurezza sul lavoro
  • Rifiuti
  • Sistemi di gestione
  • Legge 231
  • Rapporti con gli Enti
  • Ambiente

Corsi e strumenti di formazione

© 2017 - 2023 Programma Radon srl, Via Garofalo 29, 20133 Milano - Tel. 02 29408650 - P. IVA 10859340159 - inviodoc@pec.programmaradon.it