Temi

Shape 5 Live Search

logo

Il rischio inerente al trattamento è da intendersi come l'impatto negativo sulle libertà e i diritti degli interessati.

Si tratta di uno dei criteri previsti dal regolamento generale per la progettazione dei trattamenti, che appunto prevede l'obbligo di una analisi del rischio del trattamento, e quindi della valutazione delle misure tecniche od organizzative che il titolare ritiene di dover adottare per ridurre il rischio. 

La valutazione di impatto del trattamento (P.I.A., Privacy impact assessment) ha il compito di assicurare trasparenza e protezione delle operazioni di trattamento dei dati personali, imponendo al titolare l'onere di una valutazione preventiva delle conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati.
La valutazione del rischio dovrà portare il titolare a decidere in autonomia se iniziare il trattamento oppure consultare l'Autorità di controllo. L'Autorità interviene solo ex post, sulle valutazioni del titolare, indicando le misure ulteriori eventualmente da implementare, fino ad eventualmente ammonire il titolare o vietare il trattamento. 


Casi nei quali la PIA è necessaria

L'articolo 35 del regolamento europeo regolamenta la valutazione di impatto, stabilendo la sua necessità quando il trattamento prevede l'uso di nuove tecnologie e può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. 

In particolare l'articolo 35 evidenzia la necessità della valutazione di impatto nei seguenti casi: 

- il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici; 
- il trattamento riguarda dati sensibili o giudiziari su larga scala; 
- sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 

 

Contenuto minimo

La valutazione di impatto deve contenere almeno: 

- la descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso l'interesse legittimo perseguito dal titolare;
- la valutazione dei rischi;
- le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento.