Key4biz

GDPR e valutazione di impatto, il Garante Privacy individua i trattamenti

Il nuovo Regolamento europeo sulla privacy (Reg. UE 2016/679 – “GDPR”) prevede l’obbligo di svolgere, al ricorrere di determinate condizioni, una valutazione di impatto sulla protezione dei dati personali (Data Protection Impact Assessment o DPIA).

La DPIA è finalizzata ad analizzare un determinato trattamento di dati personali per valutarne i rischi, con l’obiettivo di adottare adeguate e coerenti misure, sia di natura organizzativa che tecnica.

  1. Cos’è la Valutazione di impatto

La DPIA deve avere ad oggetto i rischi rivenienti dalle attività di trattamento dei dati personali che possono causare impatti negativi sui diritti e le libertà delle persone fisiche. A titolo esemplificativo, una errata impostazione del trasferimento telematico dei dati personali della clientela da un titolare ad un altro può comportare la diffusione non autorizzata dei dati stessi.

Nel condurre la valutazione di impatto occorre tuttavia considerare anche la presenza di specifiche condizioni suscettibili di incrementare il rischio del trattamento. L’impiego di tecnologie innovative quali il cloud computing, ad esempio, non è un evento di rischio in sé, ma può incrementare le probabilità di un tale evento, come la diffusione dei dati.

  1. Le indicazioni del Garante privacy

Secondo quanto previsto dal GDPR, il Garante per la privacy ha predisposto un elenco delle tipologie di trattamento – in corso di pubblicazione nella Gazzetta ufficiale – che dovranno essere sottoposte a valutazione di impatto.

Tali tipologie di trattamento – riportate qui in forma sintetica – sono le seguenti:

L’elenco completo delle tipologie di trattamento da sottoporre a DPIA è contenuto nel provvedimento del Garante per la privacy all’indirizzo https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9058979

  1. Adozione delle indicazioni del Garante privacy

L’elenco di tipologie di trattamento predisposto dal Garante per la privacy non è da considerarsi esaustivo e potrà essere oggetto di integrazione in futuro.

E’ possibile dunque che vi siano ulteriori trattamenti per i quali sia richiesta la conduzione di una valutazione di impatto, pur non rientrando questi nelle tipologie anzidette.

Al fine di identificare tali trattamenti, lo stesso provvedimento del Garante richiama due principali riferimenti:

  1. Come provvedere alla DPIA

L’obbligo di condurre la valutazione di impatto decorre dal 25 maggio scorso. La DPIA deve essere svolta sia per i nuovi trattamenti, sia per quelli che possono presentare un rischio elevato a seguito di variazioni intervenute nelle caratteristiche e modalità.

La normativa fornisce alcune indicazioni di carattere generale in merito ai criteri e alle metodologie da impiegare per la valutazione dei rischi e delle relative misure da implementare, tra le quali quelle citate in precedenza.

Al fine di dare informazioni utili all’impostazione e svolgimento della DPIA, MACFIN Group in collaborazione con lo studio legale CMS ha realizzato un Paper contenente la descrizione degli obiettivi e delle caratteristiche della DPIA, dei criteri di individuazione dei rischi da valutare e delle tempistiche di effettuazione, che è possibile scaricare gratuitamente tramite questo link: https://mailchi.mp/58b2a0207af9/dpia?utm_source=key4biz&utm_medium=referral&utm_campaign=dpia

Exit mobile version