Privacy: disponibili le Linee guida varate dai Garanti UE
A cura della redazione
Il Garante per la protezione dei dati personali, con la Newsletter N. 434 del 30 ottobre 2017, ha reso noto che sono state adottate dalle Autorità sulla privacy europee, riunite nel Gruppo di lavoro ex art.29, le Linee guida che aiuteranno le amministrazioni pubbliche e le imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).
Più precisamente la DPIA, introdotta dal Regolamento europeo 2016/679, consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche.
Inoltre la DPIA aiuta il titolare non soltanto a rispettare le prescrizioni del Regolamento europeo, ma anche a dimostrare l'adozione di misure idonee a garantirne il rispetto.
In sostanza, la DPIA è una procedura che permette al titolare di realizzare e dimostrare la conformità del trattamento alle norme.
Non è obbligatorio condurre una DPIA per ogni singolo trattamento, però è necessaria se il trattamento "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche". È possibile utilizzare un'unica DPIA per valutare più trattamenti che presentino delle analogie (ad es. un gruppo di autorità locali che decidano di installare ciascuna un analogo sistema di videosorveglianza). E una analisi di impatto privacy può essere utile anche per valutare l'effetto di un nuovo dispositivo tecnologico.
Per assicurare un'interpretazione uniforme dei casi in cui la DPIA è obbligatoria, i Garanti Ue hanno fornito anche alcuni criteri in vista dell'elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono tenute ad adottare (ad es., trattamenti valutativi, compresi lo scoring e la profilazione; decisioni automatizzate dalle quali possono derivare discriminazioni per gli interessati; monitoraggio sistematico; trattamenti su larga scala, in particolare di dati sensibili).
L'inosservanza degli obblighi concernenti la DPIA può comportare l'imposizione di sanzioni pecuniarie da parte delle Autorità garanti.
In particolare, il mancato svolgimento dell'analisi (quando il trattamento è soggetto a tale valutazione), lo svolgimento non corretto o la mancata consultazione dell'Autorità di controllo competente ove ciò sia necessario, possono comportare l'applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro e, se si tratta di un'impresa, fino al 2% del fatturato globale annuo.
Riproduzione riservata ©