Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

diapositiva successiva Elenchi autorità di controllo L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. La stessa Autorità comunica tali elenchi al Comitato europeo per la protezione dei dati. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. Anche tali elenchi sono comunicati dall’Autorità al Comitato europeo per la protezione dei dati. Prima di adottare tali elenchi l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 del Regolamento (che richiede una operazione delle Autorità di controllo per un’applicazione coerente del Regolamento) se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al controllo del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione. diapositiva successiva Linee guida WP 29 del 4 aprile 2017 con primo emendamento del 4 ottobre 2017 Le linee guida dei Garanti europei che hanno cercato di fornire utili chiarimenti in una materia sicuramente molto complessa. In realtà nelle linee guida viene precisato che l’obbligo di condurre una DPIA, in determinate circostanze, deve essere collocato nel contesto del più generale obbligo imposto ai titolari di gestire correttamente i rischi connessi al trattamento di dati personali. diapositiva successiva DPIA Cosa si intende per rischio Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità. D’altro canto, la “gestione del rischio” è definibile come l’insieme coordinato delle attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio. Quando si parla di approccio basato sul rischio nel contesto giuridico della protezione dei dati, il riferimento ai “diritti e le libertà” degli interessati va inteso in primo luogo come relativo al diritto alla privacy, ma può riguardare anche altri diritti fondamentali quali la libertà di espressione e di pensiero, la libertà di movimento, il divieto di discriminazioni, il diritto alla libertà di coscienza e di religione. diapositiva successiva Il trattamento dei dati genetici e di salute dei pazienti in un ospedale (sistema informativo dell’ospedale) • I dati sensibili • Dati relativi interessati vulnerabili DPIA richiesto? Si L’uso di un sistema di telecamere per monitorare il comportamento di guida in autostrada. Il titolare prevede di utilizzare un sistema di analisi video intelligente per individuare autoveicoli e riconoscere automaticamente le targhe. • Il monitoraggio sistematico • L’uso innovativo o l’applicazione di soluzioni tecnologiche o organizzative DPIA richiesto? Si Una società che monitora le attività dei suoi dipendenti inclusa la loro postazione di lavoro, attività internet ecc. • Il monitoraggio sistematico • I dati relativi interessati vulnerabili DPIA richiesto? Si La raccolta dei dati dai profili social usate da compagnie private per generare profili per database di contatti • Valutazione o assegnazione di un punteggio • I dati trattati su larga scala DPIA richiesto? Si Una rivista online utilizza una mailing list per inviare un sommario giornaliero generico ai suoi abbonati • Nessuno DPIA richiesto? Non necessariamente Un sito e-commerce visualizza annunci pubblicitari di auto d’epoca includendo una limitata profilazione ispirata al passato comportamento d’acquisto su alcune parti del proprio sito web • Valutazione o assegnazione di un punteggio, ma non sistematica o estesa DPIA richiesto? Non necessariamente Coerentemente con l’approccio basato sul rischio che informa il GDPR, non è obbligatorio condurre una DPIA per ogni singolo trattamento. Viceversa, la DPIA è obbligatoria solo se una determinata tipologia di trattamenti “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, paragrafo 1). Tuttavia, la semplice circostanza per cui non siano soddisfatte le condizioni che generano un obbligo di condurre la DPIA non riduce in alcun modo l’obbligo più generale cui soggiacciono i titolari di mettere in atto misure finalizzate a gestire in modo idoneo i rischi per i diritti e le libertà degli interessati. Nelle linee guida viene innanzitutto precisato che una singola DPIA per quanto può riguardare una sola operazione di trattamento dei dati potrebbe essere utilizzata per valutare molteplici operazioni di trattamento che sono simili in termini di rischi presentati, purché adeguatamente considerate la specifica natura, portata, contesto e finalità del trattamento. diapositiva successiva Metodologia Le linee guida suggeriscono, inoltre, diverse metodologie per effettuare una DPIA anche se i criteri naturalmente devono essere comuni. In merito è stata predisposta una specifica norma internazionale ISO/IEC 29134 dal titolo “Privacy Impact Assessment – Methodology” di prossima pubblicazione che propone: un processo molto articolato in 12 passi, a cui ne vanno aggiunti 2 di riesame periodico o ad hoc e di attuazione degli eventuali cambiamenti necessari; un indice in 6 punti per il rapporto di valutazione ed un esempio per la stima degli impatti. Nel considerando 90 del GDPR sono elencati alcuni elementi della DPIA che risultano sovrapponibili a elementi ben noti di schemi esistenti per la gestione del rischio (per esempio, ISO 31000). In termini di gestione del rischio, una DPIA mira a “gestire i rischi” per i diritti e le libertà delle persone fisiche attraverso i processi di seguito indicati: • Definizione del contesto: “tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento e delle fonti di rischio”; • Valutazione dei rischi: “valutare la particolare probabilità e gravità del rischio elevato”; • Gestione dei rischi: “attenuare tale rischio” “assicurando la protezione dei dati personali” e “dimostrando la conformità al regolamento”. diapositiva successiva CONSULTAZIONE PREVENTIVA Nozione (art. 36 GDPR) L’art. 36 del Regolamento prevede la c.d. consultazione preventiva quando il titolare del trattamento, prima di procedere al trattamento dei dati personali, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio. Se l’Autorità di controllo ritiene che il trattamento previsto non sia conforme al Regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, entro un periodo massimo di otto settimane dalla richiesta di consultazione, fornisce una consulenza per iscritto al titolare del trattamento dei dati, e ove applicabile al responsabile del trattamento. Questo periodo può essere prorogato di ulteriori sei settimane, tenendo conto della complessità del trattamento previsto. Qualora si applichi la proroga, il titolare del trattamento e, ove applicabile, il responsabile del trattamento ne sono informati, incluso dei motivi del ritardo, entro un mese dal ricevimento della richiesta. diapositiva successiva REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO Nozione (art. 30 GDPR) L’art. 30 del Regolamento prevede che ogni titolare del trattamento e il suo eventuale rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Anche ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento.