Le linee guida dei Garanti europei forniscono informazioni sulla Dpia

La valutazione di impatto privacy obbligatoria tutte le volte in cui il trattamento dei dati comporta rischi elevati per i diritti e le libertà delle persone. L’articolo 35 del regolamento afferma che la Dpia è richiesta quando si verificano:
  1. una valutazione sistematica e globale di aspetti personali, basata su un trattamento automatizzato, compresa la profilazione;
  2. il trattamento, su larga scala, di dati personali sensibili;
  3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
L’elenco, tuttavia, non è tassativo. I Garanti della privacy hanno elaborato delle linee guida (aggiornate il 4 ottobre 2017) volte a integrare quanto previsto dal regolamento, e hanno individuato alcuni trattamenti che richiedono una valutazione di impatto “in virtù del loro rischio intrinseco”. I garanti individuano nove criteri:
  1. i trattamenti valutativi o di scoring, compresa la profilazione;
  2. le decisioni automatizzate che producono significativi effetti giuridici;
  3. il monitoraggio sistematico (ad esempio tramite la videosorveglianza);
  4. il trattamento dei dati sensibili, giudiziari o di natura strettamente personale;
  5. il trattamento di dati su larga scala;
  6. la combinazione o le corrispondenze di dati;
  7. il trattamento di dati relativi a soggetti vulnerabili (ad esempio minori, lavoratori dipendenti e così via);
  8. l’uso o l’applicazione di nuove tecnologie (ad esempio il riconoscimento facciale);
  9. i trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio (ne è un esempio il caso delle banche per erogare un credito).
Per i Garanti, se un trattamento soddisfa almeno due dei criteri, deve costituire oggetto di una valutazione di impatto privacy. Tuttavia, in base alle linee guida, un titolare può ritenere che si debba procedere con la valutazione anche in presenza di uno solo dei criteri. Per contro, laddove il trattamento soddisfi due dei nove criteri elencati, si può evitare la Dpia, potendo documentare i motivi che hanno spinto il titolare a non effettuare la valutazione di impatto. L’obbligo della Dpia, secondo le linee guida, si ha tutte le volte in cui si fa un monitoraggio costante delle attività dei dipendenti. Da questo punto di vista, inoltre, si deve ritenere che la valutazione dovrà essere elaborata dal titolare-datori di lavoro tutte le volte in cui tratta dati sensibili (anche su larga scala) di lavoratori o dati personali non sensibili di dipendenti o ancora quando usa un sistema di videosorveglianza.
La scelta ricade sul titolare. Alla luce delle sanzioni previste per la violazione della normativa, però (fino a 10 milioni di euro o al 2% del fatturato globale dell’azienda), indipendentemente dall’obbligatorietà o meno della valutazione di impatto privacy, è sempre preferibile adottare la procedura, perché questa aiuta ad assumere le misure di sicurezza necessarie.

Articolo tratto da Il Sole 24 Ore

Articoli correlati

Protezione dei dati, barra a dritta
Il nuovo regolamento Ue sulla protezione dei dati (Gdpr) entra in vigore venerdì prossimo, 25 maggio. E non ci sono possibilità di proroghe. Lo dice Giovanni Buttarelli, il Garante europeo...
Scopri di più
Raccolta differenziata, i sacchi trasparenti violano la privacy
L’estensione sul territorio nazionale del servizio di raccolta dei rifiuti “porta a porta” sta facendo aumentare la percentuale di raccolta differenziata con conseguente diminuzione dei rifiuti che finiscono in discarica,...
Scopri di più
Gradualità nelle sanzioni privacy
Confindustria, Abi, Ania, Assonime e Confcommercio inviano due lettere a governo e garante in vista della scadenza del 25 maggio. Troppe incertezze mettono a rischio la compliance. Serve lo sblocco...
Scopri di più
Il decreto inviato a Camere e Authorithy
Il decreto legislativo che deve coordinare la privacy europea con quella nazionale può iniziare il proprio iter. Lo scorso 10 maggio Palazzo Chigi l’ha inviato al Parlamento e al Garante,...
Scopri di più
Privacy, ecco il nuovo decreto
Punita l’acquisizione fraudolenta e la diffusione di ingenti dati personali; a 16 anni il consenso dei minori per la rete; la sanità perde l’obbligo del consenso e oblazione in vista...
Scopri di più
Le linee guida dei Garanti europei forniscono informazioni sulla Dpia
La valutazione di impatto privacy obbligatoria tutte le volte in cui il trattamento dei dati comporta rischi elevati per i diritti e le libertà delle persone. L’articolo 35 del regolamento...
Scopri di più
Privacy, rischi da valutare subito
Sono tenuti a redigere la “valutazione di impatto privacy” (la sigla inglese è Dpia: data privacy impact assessment) i datori di lavoro che: sono in possesso di dati sensibili di...
Scopri di più
Spiare l’e-mail è controllo a distanza
Con il provvedimento 53/2018 il Garante della privacy pone un freno alla prassi di molti datori di lavoro di conservare in modo massivo le e-mail scambiate dai dipendenti attraverso gli...
Scopri di più
Telecamere in azienda: visione “in diretta” solo in casi eccezionali
Installazione di impianti audiovisivi facilitata, anche se le aziende devono fare i conti con la vecchia modulistica. La circolare 5/2018 dell’ispettorato nazionale del lavoro (Inl) segna un’apertura rispetto al passato,...
Scopri di più
Informativa chiara al lavoratore sui dati raccolti
L’entrata in vigore, il 25 maggio, del nuovo regolamento europeo sulla protezione dei dati personali (2016/679) avrà un impatto anche sugli adempimenti informativi delle aziende per il controllo a distanza...
Scopri di più
“Consigliato” il responsabile dati
La nomina di un DPO (Data Protection Officer, in italiano RPD, Responsabile per la Protezione dei Dati), che secondo il regolamento europeo non è obbligatoria per tutti, è “raccomandata” dal...
Scopri di più
{"slides_column":"3","slides_scroll":"1","dots":"false","arrows":"true","autoplay":"true","autoplay_interval":"2500","speed":"1200","rtl":"false","loop":"true","design":"design-22"}
Powered by WishList Member - Membership Software
X