Privacy, rischi da valutare subito

Sono tenuti a redigere la “valutazione di impatto privacy” (la sigla inglese è Dpia: data privacy impact assessment) i datori di lavoro che:
  1. sono in possesso di dati sensibili di lavoratori (ad esempio dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale) “su larga scala”;
  2. conservano dati personali di soggetti vulnerabili (minori, soggetti in condizioni di minorata capacità fisica o psichica e così via).
È un adempimento previsto dal Regolamento europeo sulla privacy (Gdpr) che, dal 25 maggio, sostituirà nel nostro ordinamento, definitivamente, le attuali norme sulla privacy.
L’articolo 35 del Regolamento Ue/2016/679 definisce la valutazione di impatto privacy come una procedura che mira a descrivere un trattamento di dati per valutarne la necessità, la proporzionalità e i relativi rischi, per adottare misure idonee a gestirli.
La Dpia è uno strumento di estrema importanza per le aziende, perché aiuta il titolare dei dati a rispettare le norme del nuovo Regolamento e a garantire l’adozione di misure idonee ad attuare le prescrizioni qui contenute. La Dpia deve essere condotta prima di procedere al trattamento e non può essere un documento “statico”, ma “dinamico”, in continua evoluzione e riesame. Questo comporta la necessità di una rivisitazione della valutazione a intervalli regolari e continuativi.
Ai trattamenti di dati personali già in corso si applica la nuova normativa oppure no? Su questo punto si sono espressi i Garanti della privacy a livello europeo (il cosiddetto gruppo di lavoro “articolo 29”) nelle linee guida in materia di valutazione di impatto privacy emanate il 4 ottobre 2017, affermando che è necessaria la Dpia anche per i trattamenti già in corso, se c’è stata una variazione dei rischi, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento. La Dpia può essere effettuata sia dal titolare dei dati sia da soggetti interni o esterni all’organizzazione. La responsabilità resta comunque del titolare del trattamento. Nello svolgere l’attività di valutazione, il titolare si consulta con il responsabile della protezione dei dati, qualora sia stato nominato (il cosiddetto Dpo, data protection officer) e con i responsabili del trattamento.
La valutazione di impatto privacy è obbligatoria? L’articolo 35 del Regolamento Ue 679/2016 afferma che la Dpia è obbligatoria ogni qualvolta il trattamento dei dati comporta rischi elevati per i diritti e le libertà dei soggetti. Non c’è l’obbligo di redigere il documento, invece, se i trattamenti dei dati personali:
  • non presentano rischi rilevanti per i diritti e le libertà delle persone;
  • sono già stati sottoposti a verifica da parte delle autorità di controllo;
  • sono compresi nell’elenco facoltativo o fanno riferimento a norme o regolamenti per la cui definizione è stata condotta una Dpia.
Come deve essere redatta la Dpia? Il regolamento generale sulla protezione dei dati (articolo 35, paragrafo sette e considerando 84 e 90) stabilisce che il documento in questione dovrà contenere:
  • la descrizione dei trattamenti previsti e delle relative finalità;
  • la valutazione della necessità e proporzionalità del trattamento;
  • la valutazione dei rischi per i diritti e le libertà delle persone fisiche e le misure previste per la gestione di questi rischi.
L’azienda dovrà inoltre dimostrare la conformità dei trattamenti rispetto al Gdpr. Non è prevista quindi una metodologia uniforme di redazione del documento. Spetta al titolare scegliere quella che risulta conforme al Regolamento europeo.
Esiste un obbligo di rendere pubblica la Dpia? Secondo le linee guida del 4 ottobre 2017 non c’è un obbligo generale di pubblicazione. La decisione spetterà, dunque, anche in questo caso, ai titolari dei dati. In ogni caso, la pubblicazione della Dpia (anche per stralcio) è consigliata, sia per ragioni di trasparenza e responsabilizzazione, sia perché, rendendo noto il documento, le persone riporranno più fiducia sul corretto trattamento dei loro dati.

L’IDENTIKIT DELL’ITER (DPIA)

Procedura per prevenire rischi

La valutazione di impatto sulla protezione dei dati personali (inglese  data protection impact assessment, Dpia) è una procedura attraverso la quale l’azienda può valutare i rischi cui sono sottoposti i trattamenti dei dati, per poter mettere a punto tutte le misure necessarie ed attenuare questi rischi

Conformità alle regole Ue

Lo scopo della Dpia è valutare se il trattamento dei dati da parte del titolare è conforme al nuovo Regolamento europeo sulla privacy, in vigore dal 25 maggio. Vista l’utilità della procedura, il gruppo di lavoro europeo dei Garanti della privacy suggerisce di valutarne l’adozione per tutti i trattamenti dei dati (non solo nei casi in cui il Regolamento ne prevede l’obbligatorietà)

Pesa la variazione del rischio

La valutazione deve essere eseguita prima di ogni trattamento di dati. Per i trattamenti che sono già in corso, la procedura è necessaria solo se variano i rischi cui sono sottoposti i dati, tenendo conto della natura, dell’ambito di applicazione, del contesto e della finalità del trattamento

Responsabilità al titolare

La valutazione di impatto privacy ricade sotto la responsabilità del titolare del trattamento dei dati personali, che può farsi aiutare anche da consulenti esterni all’azienda o da organismi esperti di informatica all’interno dell’impresa stessa (ad esempio il responsabile It dell’azienda). La responsabilità della procedura comunque è del titolare

Trattamenti da valutare

La Dpia è obbligatoria quando il trattamento può comportare un rischio elevato per i diritti delle persone coinvolte. I garanti della Privacy hanno individuato una serie di situazioni-chiave (trattamento di dati su larga scala, monitoraggio continuo, trattamento di dati sensibili o giudiziari di natura strettamente personale) in presenza di almeno due delle quali la Dpia è da fare

Sanzioni fino a 10 milioni

La mancata esecuzione della valutazione di impatto privacy nei casi di obbligatorietà o l’errata valutazione possono comportare l’applicazione di una sanzione pari nel massimo a 10 milioni di euro oppure, nel caso dell’impresa, fino al 2% del fatturato globale dell’anno precedente, in base a quale dei due importi sia quello superiore (articolo 83 paragrafo quattro lettera a del Regolamento 679/2016)

Articolo tratto da Il Sole 24 Ore

Articoli correlati

Le “autorizzazioni generali” al vaglio del Garante privacy
Sulla tavola della protezione dei dati personali sono state molte le primizie da assaporare negli ultimi tempi: gli strumenti della riforma Ue, comprensiva del regolamento generale e della direttiva per...
Scopri di più
In Gazzetta il riordino delle regole sulla privacy
Il decreto che coordina la vecchia normativa nazionale sulla protezione dei dati personali con il nuovo regolamento sulla privacy entrerà in vigore il prossimo 19 settembre. È l’effetto della pubblicazione...
Scopri di più
Privacy, bella e impossibile
Se è vero che la gestione dei dati è il petrolio del prossimo futuro, la sua tutela dovrebbe essere una priorità per i legislatori. Invece fa acqua da tutte le...
Scopri di più
La privacy impone il Registro dei dati nelle aziende con più di 250 dipendenti
Grandi aziende chiamate a redigere il registro del trattamento dei dati. È uno degli adempimenti più importanti previsti dal regolamento europeo per la protezione dei dati personali, in vigore dal...
Scopri di più
I consigli privacy per le vacanze, droni in spiaggia con cautela
Attenti al drone: non deve diffondere i visi di persone riconoscibili; attenti al wi-fi: se non protetto, carpisce dati sensibili; attenti ai minori: meglio non postare immagini su social network....
Scopri di più
Privacy, dipendenti tracciabili
Tracciabilità dello smartphone possibile, in alcuni casi anche senza consenso; ma con garanzie per i lavoratori e i terzi. È uno degli aspetti che emerge dalla relazione del 2017 del...
Scopri di più
Privacy, 140 cyberattacchi al giorno. Denunce di data breach a +500%
A maggio gli attacchi informatici hanno toccato la soglia di 140 al giorno e nell’ultimo mese le comunicazioni di data breach al Garante della privacy sono aumentati di oltre il...
Scopri di più
Reclamo gratuito all’Authority
Se l’istanza di esercizio dei diritti, non va a buon fine, l’interessato può alternativamente rivolgersi al Garante o al tribunale. Nel caso in cui ci si rivolga all’autorità amministrativa, la...
Scopri di più
Privacy, imprese in allerta
Il reclamo privacy al Garante è gratis: per far valere i diritti previsti dal regolamento Ue 2016/679 sulla protezione dei dati non si pagano diritti di segreteria. Enti pubblici e...
Scopri di più
Privacy, una tutela facile facile
Il nuovo regolamento europeo sulla privacy, operativo dal 25 maggio, ha certamente reso più semplice la presentazione di un ricorso al Garante. Per un semplice motivo: non si paga nulla....
Scopri di più
Una procedura per gestire la violazione dei dati
Il decreto legislativo 196/2003 prevedeva che la notificazione all’autorità garante di una violazione dei dati avvenisse solo a fronte di specifiche situazioni. Il nuovo regolamento europeo invece impone una notificazione...
Scopri di più
L’avvocato ai margini del Gdpr
Gli avvocati non devono essere nominati responsabili esterni del trattamento. Anche a seguito dell’applicazione del regolamento Ue sulla privacy n. 2016/679, con riferimento all’attività forense, il rapporto con il cliente...
Scopri di più
Dati da proteggere nel lavoro agile
Conciliare il lavoro “agile”, fuori dai locali dell’azienda, con la protezione dei dati (a volte riservati) che l’azienda mette a disposizione del lavoratore. È una delle esigenze che si manifestano...
Scopri di più
L’antiriciclaggio limita la privacy
I dati acquisiti e archiviati dai soggetti tenuti alla adeguata verifica ai fini antiriciclaggio prevalgono sul diritto alla privacy e all’oblio. Dal 25 maggio 2018 è divenuto pienamente applicabile nel...
Scopri di più
PC dei dipendenti controllabili per tutelare i beni aziendali
Il controllo datoriale attraverso un’indagine retrospettiva di carattere informatico sull’utilizzo del computer in dotazione al dipendente, da cui si era riscontrato un utilizzo del bene aziendale per finalità extra lavorative,...
Scopri di più
Privacy, caccia al responsabile
In arrivo nelle scuole il responsabile della protezione dei dati personali, previsto dal nuovo regolamento europeo sulla privacy (Ue/2016/679) in vigore dal 25 maggio. A pochi giorni dall’entrata in vigore...
Scopri di più
Sanzioni privacy senza contraddittorio
L’iter di approvazione del decreto “si concluda quanto prima, in modo da assicurare ai titolari del trattamento il necessario riordino”. Sono parole contenute nel documento depositato lo scorso 31 maggio...
Scopri di più
Privacy, modello per i reclami
Pronti da usare il modello di reclamo e il modello di esercizio dei diritti di privacy, aggiornati al Regolamento Ue 2016/679 sulla protezione dei dati personali. Sono stati messi a...
Scopri di più
La salute non chiede il consenso
Il consenso per la privacy sanitaria è sul viale del tramonto o almeno è quello cui si profila a dare credito la bozza di decreto di armonizzazione della legislazione italiana...
Scopri di più
In condominio nomine privacy da fare
L’amministratore di condominio non è “nominato” automaticamente responsabile del trattamento. Dal 25 maggio è in vigore il regolamento europeo in materia di protezione dei dati personali n. 2016/679, conosciuto anche...
Scopri di più

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

cookie policy

Powered by WishList Member - Membership Software

X