Intestazione Valutazione d´impatto sulla protezione dei dati

Briciole di pane

Valutazione d'impatto sulla protezione dei dati

La pagina contiene link alla normativa e a documenti interpretativi, schede informative e pagine tematiche, ed è in continuo aggiornamento.

INDICE

-linee guida

-documenti

-approfondimenti

-strumenti

LINEE GUIDA

Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248)

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi  individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti  - cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.

Le linee-guida del WP29 offrono alcuni chiarimenti sul punto; in particolare, precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento all´art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

Le linee-guida chiariscono, peraltro, anche quando una valutazione di impatto non sia richiesta: ciò vale, in particolare, per  i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e non presentino modifiche significative prima del 25 maggio 2018, data di piena applicazione del regolamento.

Il messaggio finale delle linee-guida (già sottoposte a consultazione pubblica) è che la valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l´altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.
 

adottate il 4 aprile 2017
come modificate e adottate da ultimo il 4 ottobre 2017

DOCUMENTI

- Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679*

*CHIARIMENTO INTERPRETATIVO: Si evidenzia come le espressioni trattamenti "sistematici" e "non occasionali" indicate nell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della "larga scala" così come espressamente illustrato al quinto criterio del WP 248 (pag. 11)

"5. trattamento di dati su larga scala: il regolamento generale sulla protezione dei dati non definisce la nozione di "su larga scala", tuttavia fornisce un orientamento in merito al considerando 91. A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

a. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; 

b. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;

c. la durata, ovvero la persistenza, dell'attività di trattamento;

d. la portata geografica dell'attività di trattamento;"

Si evidenzia inoltre che il termine “dati biometrici” di cui al punto 11 dell'Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto va inteso come “dati biometrici, trattati per identificare univocamente una persona fisica”.

- Valutazione di impatto sulla protezione dei dati (DPIA). Quando effettuarla?

APPROFONDIMENTI

Terza riunione plenaria del Comitato europeo per la protezione dei dati (EDPB). Adottati i pareri sulle liste dei trattamenti da sottoporre a “Valutazione d'impatto sulla protezione dei dati”

EDPB - Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR) impact assessment (Article 35.4 GDPR)

- Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali - Approccio basato sul rischio e misure di accountability (responsabilizzazione) di titolari e responsabili

- VIDEO - "Data protection by default and by design", valutazione di impatto e consultazione preventiva - Intervento tenuto nel corso dell´incontro "Regolamento UE. Il Garante per la protezione dei dati personali incontra la PA" (tappa di Bari, 15 gennaio 2018)

- Individuazione e gestione del rischio - Pagina informativa

STRUMENTI

Un software per la valutazione di impatto

La CNIL, l´Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d´impatto sulla protezione dei dati (DPIA).

Il software -  gratuito e liberamente scaricabile dal sito www.cnil.fr (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil) - offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

La versione in lingua italiana è stata messa a punto anche con la collaborazione del Garante per la protezione dei dati personali.

Occorre sottolineare che il software è in continua evoluzione, con revisioni introdotte anche sulla base dell´esperienza raccolta e delle segnalazioni degli utenti.

IMPORTANTE

Il software qui presentato NON costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d´impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d´impatto che va integrata in ragione delle tipologie di trattamento esaminate.

E´ inoltre bene ricordare che la valutazione d´impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

Per approfondimenti, è disponibile anche un breve tutorial realizzato dal Garante italiano.

ISTRUZIONI PER L´INSTALLAZIONE

Una volta aperta la pagina https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil, scorrere fino al titolo "Version portable" e selezionare il tipo di sistema operativo installato sul proprio computer.

Una volta scaricato il software, lanciare l´installazione che sarà effettuata automaticamente nella versione in lingua italiana.

Mappa del sito

Temi