Temi

Shape 5 Live Search

logo

Il nuovo regolamento generale ha un approccio basato sulla valutazione del rischio (risk based), piuttosto che sulla protezione dell'utente.

Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Quindi, il rischio inerente al trattamento è da intendersi come l'impatto negativo sulle libertà e i diritti degli interessati.

Si tratta di uno dei criteri previsti dal regolamento generale per la progettazione dei trattamenti, che appunto prevede l'obbligo di una analisi del rischio del trattamento, e quindi della valutazione delle misure tecniche od organizzative che il titolare ritiene di dover adottare per ridurre l'eventuale rischio. 

La valutazione di impatto del trattamento (D.P.I.A., cioè Data Protection Impact Assessment) ha il compito di assicurare trasparenza e protezione delle operazioni di trattamento dei dati personali, imponendo al titolare l'onere di una valutazione preventiva delle conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati.
La valutazione del rischio, da realizzare per ogni singolo trattamento, dovrà portare il titolare a decidere in autonomia se sussistono rischi elevati inerenti il trattamento, in assenza dei quali potrà procedere oltre. Se invece ritenesse sussistenti detti rischi, dovrà individuare le misure specifiche richieste per attenuare o eliminare il rischio (che non sono indicate dal regolamento). 
Solo nel caso in cui il titolare non dovesse trovare misure idonee a eliminare o ridurre il rischio, occorrerà consultare l'Autorità di controllo. L'Autorità interviene solo ex post, sulle valutazioni del titolare, indicando le misure ulteriori eventualmente da implementare, fino ad eventualmente ammonire il titolare o vietare il trattamento. 
In ogni caso il titolare dovrà giustificare le sue valutazione e rendicontarle nel registro dei trattamenti

 

Casi nei quali la DPIA è necessaria

L'articolo 35 del regolamento europeo regolamenta la valutazione di impatto, stabilendo la sua necessità quando il trattamento prevede l'uso di nuove tecnologie e può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare l'articolo 35 evidenzia la necessità della valutazione di impatto nei seguenti casi: 


- il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici; 
- il trattamento riguarda dati sensibili o giudiziari su larga scala; 
- sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 

Le Autorità di controllo hanno un ruolo importante, in quanto possono stabilire, con un elenco pubblico, quali tipologie di trattamenti richiedono comunque la valutazione di impatto. Allo stesso modo, possono redigere un elenco delle tipologie di trattamenti per i quali la valutazione non è necessaria. 

 

Contenuto minimo

La valutazione di impatto deve contenere almeno: 

- la descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso l'interesse legittimo perseguito dal titolare;
- la valutazione dei rischi;
- le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento.