Garante per la protezione dei dati personali – Documento pubblicato il 22 novembre 2017

Servizi Comunali Privacy Privacy

Valutazione d'impatto sulla protezione dei dati

 

 

                                     Garante per la protezione dei dati personali

Valutazione d'impatto sulla protezione dei dati

 

La pagina contiene link alla normativa e a documenti interpretativi, schede informative e pagine tematiche,
ed è in continuo aggiornamento.
Ultimo aggiornamento 23 ottobre 2017

 

Linee-guida del  Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248)

 

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l'autorità di controllo in caso le misure tecniche e organizzative da loro stessi  individuate per mitigare l'impatto del trattamento non siano ritenute sufficienti  - cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

 

Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l'osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.

 

Le linee-guida del WP29 offrono alcuni chiarimenti sul punto; in particolare, precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento all'art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

 

Le linee-guida chiariscono, peraltro, anche quando una valutazione di impatto non sia richiesta: ciò vale, in particolare, per  i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e non presentino modifiche significative prima del 25 maggio 2018, data di piena applicazione del regolamento.

 

Il messaggio finale delle linee-guida (già sottoposte a consultazione pubblica) è che la valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l'altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.
 

 

Linee-guida 

Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per  stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248
adottate dal Gruppo di lavoro Art. 29 il 4 aprile 2017

(Traduzione della versione emendata e adottata il 4 ottobre 2017)


 

http://www.garanteprivacy.it/image/image_gallery?uuid=93f88d7d-c5b7-4ce3-82e4-3da1415507e5&groupId=10160&t=1355926555606english version

Guidelines on Data Protection Impact Assessment (DPIA) and determining
whether processing is "likely to result in a high risk"
for the purposes of Regulation 2016/679, wp248rev.01

As last Revised and Adopted on 4 October 2017

 

 

 

http://www.garanteprivacy.it/image/image_gallery?uuid=21c655ec-82b7-45af-8027-c7a384b132f6&groupId=10160&t=1508772963481 Ascolta questo articolo


Scritto il 23/11/2017

Approfondimenti

Non hai trovato le informazioni che stavi cercando?

Poni un quesito ai nostri esperti

CHI SIAMO

La posta del Sindaco è rivolto ad amministratori ed operatori degli enti locali: ricco di contenuti sempre aggiornati, il cuore del portale risiede nella possibilità di accedere, in modo semplice e veloce, ad approfondimenti, informazioni, adempimenti, modelli e risposte operative per una gestione efficiente e puntuale dell'attività amministrativa.

La Posta del Sindaco - ISSN 2704-744X

INFORMAZIONI

Ricevi via email i nuovi contenuti pubblicati nel portale