GDPR: come e quando compilare la valutazione di impatto

Redazione 25/06/18
Scarica PDF Stampa
Dal 25 maggio è entrato in vigore il Regolamento generale sulla protezione dei dati (GDPR). Oggi parliamo della valutazione di impatto, uno strumento importante e utile per aiutare gli studi e le aziende a rispettare i requisiti della legge sulla protezione dati, ma anche a dimostrare di adottare tutte le misure appropriate per garantire il rispetto del Regolamento. Il titolare del trattamento, infatti, ha il compito di valutare i rischi per i diritti e le libertà degli interessati relativi alle attività di trattamento svolte e se, in seguito a questa valutazione, si dovesse andare incontro ad un rischio molto elevato, ha l’obbligo di effettuare la valutazione di impatto, prevista dall’art. 35 del Regolamento generale sulla protezione dei dati.

Un trattamento può presentare rischi elevanti in alcuni casi come questi:

  • Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • Il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  • La sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Ci possono essere altre operazioni di trattamento che, anche se non rientrano nell’elenco riportato, possono presentare comunque rischi elevati. Per misurare questo rischio, il gruppo di lavoro Art. 29 ha individuato dei criteri. Maggiore è il numero di criteri soddisfati dal trattamento, maggiore è la probabilità che sia presente un rischio elevato.

GDPR, ecco i nove criteri per la valutazione di impatto:

  1. Valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato;
  2. Processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente;
  3. Monitoraggio sistematico;
  4. Dati sensibili o dati aventi carattere altamente personale;
  5. Trattamento di dati su larga scala;
  6. Creazione di corrispondenze o combinazione di insiemi di dati;
  7. Dati relativi a interessati vulnerabili;
  8. Uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
  9. Quando il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.

Il GDPR, con l’introduzione della valutazione di impatto sulla protezione dei dati, ha sostituito l’istituto della verifica preliminare che era prevista dal vecchio articolo 17 del Codice privacy. L’istanza di verifica preliminare veniva presentata al Garante privacy qualora i trattamenti presentassero rischi per l’interessato. Al Garante spettava la valutazione degli aspetti del trattamento e la decisione sulla sua autorizzazione.

GDPR: Principio de responsabilizzazione

Alla base del GDPR c’è il principio di responsabilizzazione, per questo motivo spetta al titolare effettuare una valutazione d’impatto del trattamento. Il titolare può coinvolgere l’autorità solamente se dovessero rimanere dei rischi all’esito della valutazione.

Inoltre, il Regolamento generale sulla protezione dei dati, stabilisce le caratteristiche minime di una valutazione di impatto sulla protezione dei dati, che deve contenere:

  • Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  • Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • Una valutazione dei rischi per i diritti e le libertà degli interessati; e
  • Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento di cui si tratta, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Sull’argomento consigliamo:

Redazione

Scrivi un commento

Accedi per poter inserire un commento