REGOLAMENTO GENERALE PER LA PROTEZIONE DEI DATI: LE LINEE GUIDA PER UNA CORRETTA VALUTAZIONE D’IMPATTO.

01 Dic REGOLAMENTO GENERALE PER LA PROTEZIONE DEI DATI: LE LINEE GUIDA PER UNA CORRETTA VALUTAZIONE D’IMPATTO.

Le linee guida per la valutazione di impatto sulla protezione dei dati, emanate nell’aprile 2017 dal gruppo “WP29”, sono state recentemente aggiornate.

La Valutazione di impatto sulla protezione dei dati personali (Data Protection Iimpact Assessment, o DPIA), è una procedura prevista dall’art. 35 del Regolamento UE 679/2016, diretta a valutare la necessità, la proporzionalità e i rischi di un trattamento di dati al fine di approntare misure preventive idonee a ridurre al minimo tali rischi. La DPIA può avere ad oggetto un singolo trattamento di dati oppure più trattamenti che presentino caratteristiche analoghe in termini di natura, contesto, finalità e rischi.

La valutazione è affidata alla responsabilità del titolare del trattamento, che ne monitora lo svolgimento – da eseguirsi prima di procedere al trattamento – coordinandosi con il Responsabile della protezione dei dati.

La DPIA non è sempre obbligatoria: il Regolamento, difatti, stabilisce che la valutazione di impatto obbligatoria ha ad oggetto trattamenti che possano presentare rischi elevati per i diritti e le libertà delle persone fisiche i cui dati vengono trattati. Il WP29, incaricato di fornire indicazioni utili per l’applicazione del Regolamento, ha raccomandato di eseguire la DPIA al ricorrere di almeno due dei seguenti criteri/circostanze: a) trattamenti valutativi o di scoring, compresa la profilazione; b) decisioni automatizzate che producono significativi effetti giuridici; c) monitoraggio sistematico (es., videosorveglianza); d) dati sensibili, giudiziari o estremamente personali; e) trattamento di dati su larga scala; f) combinazione o raffronto di un insieme di dati derivanti da più trattamenti; g) dati relativi a interessati vulnerabili (es., minori); h) utilizzi innovativi o applicazione di nuove soluzioni tecnologiche nel trattamento dei dati; i) trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio. Le linee guida precisano che, anche se non obbligatoria, la DPIA è fortemente consigliata anche qualora ricorra solo una delle condizioni sopra viste.

Il WP29, inoltre, si è preoccupato anche di individuare delle ipotesi nelle quali non è necessaria la DPIA, ed in particolare qualora i trattamenti: i) non presentano rischi elevati per i diritti e le libertà delle persone fisiche, oppure, ii) hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per il quale è già stata condotta una DPIA, oppure, iii) sono già stati sottoposti a verifica da parte di un’Autorità di controllo prima dell’entrata in vigore del Regolamento, oppure, iv) sono compresi tra i trattamenti espressamente esclusi dalla DPIA.