Privacy, rischi da valutare subito

Sono tenuti a redigere la “valutazione di impatto privacy” (la sigla inglese è Dpia: data privacy impact assessment) i datori di lavoro che:
  1. sono in possesso di dati sensibili di lavoratori (ad esempio dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o l’appartenenza sindacale, dati relativi alla salute o alla vita sessuale) “su larga scala”;
  2. conservano dati personali di soggetti vulnerabili (minori, soggetti in condizioni di minorata capacità fisica o psichica e così via).
È un adempimento previsto dal Regolamento europeo sulla privacy (Gdpr) che, dal 25 maggio, sostituirà nel nostro ordinamento, definitivamente, le attuali norme sulla privacy.
L’articolo 35 del Regolamento Ue/2016/679 definisce la valutazione di impatto privacy come una procedura che mira a descrivere un trattamento di dati per valutarne la necessità, la proporzionalità e i relativi rischi, per adottare misure idonee a gestirli.
La Dpia è uno strumento di estrema importanza per le aziende, perché aiuta il titolare dei dati a rispettare le norme del nuovo Regolamento e a garantire l’adozione di misure idonee ad attuare le prescrizioni qui contenute. La Dpia deve essere condotta prima di procedere al trattamento e non può essere un documento “statico”, ma “dinamico”, in continua evoluzione e riesame. Questo comporta la necessità di una rivisitazione della valutazione a intervalli regolari e continuativi.
Ai trattamenti di dati personali già in corso si applica la nuova normativa oppure no? Su questo punto si sono espressi i Garanti della privacy a livello europeo (il cosiddetto gruppo di lavoro “articolo 29”) nelle linee guida in materia di valutazione di impatto privacy emanate il 4 ottobre 2017, affermando che è necessaria la Dpia anche per i trattamenti già in corso, se c’è stata una variazione dei rischi, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento. La Dpia può essere effettuata sia dal titolare dei dati sia da soggetti interni o esterni all’organizzazione. La responsabilità resta comunque del titolare del trattamento. Nello svolgere l’attività di valutazione, il titolare si consulta con il responsabile della protezione dei dati, qualora sia stato nominato (il cosiddetto Dpo, data protection officer) e con i responsabili del trattamento.
La valutazione di impatto privacy è obbligatoria? L’articolo 35 del Regolamento Ue 679/2016 afferma che la Dpia è obbligatoria ogni qualvolta il trattamento dei dati comporta rischi elevati per i diritti e le libertà dei soggetti. Non c’è l’obbligo di redigere il documento, invece, se i trattamenti dei dati personali:
  • non presentano rischi rilevanti per i diritti e le libertà delle persone;
  • sono già stati sottoposti a verifica da parte delle autorità di controllo;
  • sono compresi nell’elenco facoltativo o fanno riferimento a norme o regolamenti per la cui definizione è stata condotta una Dpia.
Come deve essere redatta la Dpia? Il regolamento generale sulla protezione dei dati (articolo 35, paragrafo sette e considerando 84 e 90) stabilisce che il documento in questione dovrà contenere:
  • la descrizione dei trattamenti previsti e delle relative finalità;
  • la valutazione della necessità e proporzionalità del trattamento;
  • la valutazione dei rischi per i diritti e le libertà delle persone fisiche e le misure previste per la gestione di questi rischi.
L’azienda dovrà inoltre dimostrare la conformità dei trattamenti rispetto al Gdpr. Non è prevista quindi una metodologia uniforme di redazione del documento. Spetta al titolare scegliere quella che risulta conforme al Regolamento europeo.
Esiste un obbligo di rendere pubblica la Dpia? Secondo le linee guida del 4 ottobre 2017 non c’è un obbligo generale di pubblicazione. La decisione spetterà, dunque, anche in questo caso, ai titolari dei dati. In ogni caso, la pubblicazione della Dpia (anche per stralcio) è consigliata, sia per ragioni di trasparenza e responsabilizzazione, sia perché, rendendo noto il documento, le persone riporranno più fiducia sul corretto trattamento dei loro dati.

L’IDENTIKIT DELL’ITER (DPIA)

Procedura per prevenire rischi

La valutazione di impatto sulla protezione dei dati personali (inglese  data protection impact assessment, Dpia) è una procedura attraverso la quale l’azienda può valutare i rischi cui sono sottoposti i trattamenti dei dati, per poter mettere a punto tutte le misure necessarie ed attenuare questi rischi

Conformità alle regole Ue

Lo scopo della Dpia è valutare se il trattamento dei dati da parte del titolare è conforme al nuovo Regolamento europeo sulla privacy, in vigore dal 25 maggio. Vista l’utilità della procedura, il gruppo di lavoro europeo dei Garanti della privacy suggerisce di valutarne l’adozione per tutti i trattamenti dei dati (non solo nei casi in cui il Regolamento ne prevede l’obbligatorietà)

Pesa la variazione del rischio

La valutazione deve essere eseguita prima di ogni trattamento di dati. Per i trattamenti che sono già in corso, la procedura è necessaria solo se variano i rischi cui sono sottoposti i dati, tenendo conto della natura, dell’ambito di applicazione, del contesto e della finalità del trattamento

Responsabilità al titolare

La valutazione di impatto privacy ricade sotto la responsabilità del titolare del trattamento dei dati personali, che può farsi aiutare anche da consulenti esterni all’azienda o da organismi esperti di informatica all’interno dell’impresa stessa (ad esempio il responsabile It dell’azienda). La responsabilità della procedura comunque è del titolare

Trattamenti da valutare

La Dpia è obbligatoria quando il trattamento può comportare un rischio elevato per i diritti delle persone coinvolte. I garanti della Privacy hanno individuato una serie di situazioni-chiave (trattamento di dati su larga scala, monitoraggio continuo, trattamento di dati sensibili o giudiziari di natura strettamente personale) in presenza di almeno due delle quali la Dpia è da fare

Sanzioni fino a 10 milioni

La mancata esecuzione della valutazione di impatto privacy nei casi di obbligatorietà o l’errata valutazione possono comportare l’applicazione di una sanzione pari nel massimo a 10 milioni di euro oppure, nel caso dell’impresa, fino al 2% del fatturato globale dell’anno precedente, in base a quale dei due importi sia quello superiore (articolo 83 paragrafo quattro lettera a del Regolamento 679/2016)

Articolo tratto da Il Sole 24 Ore

Articoli correlati

Protezione dei dati, barra a dritta
Il nuovo regolamento Ue sulla protezione dei dati (Gdpr) entra in vigore venerdì prossimo, 25 maggio. E non ci sono possibilità di proroghe. Lo dice Giovanni Buttarelli, il Garante europeo...
Scopri di più
Raccolta differenziata, i sacchi trasparenti violano la privacy
L’estensione sul territorio nazionale del servizio di raccolta dei rifiuti “porta a porta” sta facendo aumentare la percentuale di raccolta differenziata con conseguente diminuzione dei rifiuti che finiscono in discarica,...
Scopri di più
Gradualità nelle sanzioni privacy
Confindustria, Abi, Ania, Assonime e Confcommercio inviano due lettere a governo e garante in vista della scadenza del 25 maggio. Troppe incertezze mettono a rischio la compliance. Serve lo sblocco...
Scopri di più
Il decreto inviato a Camere e Authorithy
Il decreto legislativo che deve coordinare la privacy europea con quella nazionale può iniziare il proprio iter. Lo scorso 10 maggio Palazzo Chigi l’ha inviato al Parlamento e al Garante,...
Scopri di più
Privacy, ecco il nuovo decreto
Punita l’acquisizione fraudolenta e la diffusione di ingenti dati personali; a 16 anni il consenso dei minori per la rete; la sanità perde l’obbligo del consenso e oblazione in vista...
Scopri di più
Le linee guida dei Garanti europei forniscono informazioni sulla Dpia
La valutazione di impatto privacy obbligatoria tutte le volte in cui il trattamento dei dati comporta rischi elevati per i diritti e le libertà delle persone. L’articolo 35 del regolamento...
Scopri di più
Privacy, rischi da valutare subito
Sono tenuti a redigere la “valutazione di impatto privacy” (la sigla inglese è Dpia: data privacy impact assessment) i datori di lavoro che: sono in possesso di dati sensibili di...
Scopri di più
Spiare l’e-mail è controllo a distanza
Con il provvedimento 53/2018 il Garante della privacy pone un freno alla prassi di molti datori di lavoro di conservare in modo massivo le e-mail scambiate dai dipendenti attraverso gli...
Scopri di più
Telecamere in azienda: visione “in diretta” solo in casi eccezionali
Installazione di impianti audiovisivi facilitata, anche se le aziende devono fare i conti con la vecchia modulistica. La circolare 5/2018 dell’ispettorato nazionale del lavoro (Inl) segna un’apertura rispetto al passato,...
Scopri di più
Informativa chiara al lavoratore sui dati raccolti
L’entrata in vigore, il 25 maggio, del nuovo regolamento europeo sulla protezione dei dati personali (2016/679) avrà un impatto anche sugli adempimenti informativi delle aziende per il controllo a distanza...
Scopri di più
“Consigliato” il responsabile dati
La nomina di un DPO (Data Protection Officer, in italiano RPD, Responsabile per la Protezione dei Dati), che secondo il regolamento europeo non è obbligatoria per tutti, è “raccomandata” dal...
Scopri di più
{"slides_column":"3","slides_scroll":"1","dots":"false","arrows":"true","autoplay":"true","autoplay_interval":"2500","speed":"1200","rtl":"false","loop":"true","design":"design-22"}
Powered by WishList Member - Membership Software
X