Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

diapositiva successiva • Descrizione del trattamento previsto • Valutazione della necessità e della proporzionalità • Misure previste per dimostrare la compliance • Valutazione dei rischi ai diritti e alle libertà • Misure previste per affrontare i rischi • Documentazione • Monitoraggio e revisione La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l’interesse legittimo perseguito dal titolare del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. diapositiva successiva Valutazione di impatto sulla protezione dei dati (D. P. I. A.). Quando effettuarla? Vediamo lo schema sulla diapositiva Inoltre la valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei seguenti casi: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; c) la sorveglianza sistematica di una zona accessibile al pubblico su larga scala. diapositiva successiva Elenchi autorità di controllo L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. La stessa Autorità comunica tali elenchi al Comitato europeo per la protezione dei dati. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. Anche tali elenchi sono comunicati dall’Autorità al Comitato europeo per la protezione dei dati. Prima di adottare tali elenchi l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 del Regolamento (che richiede una operazione delle Autorità di controllo per un’applicazione coerente del Regolamento) se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al controllo del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione. diapositiva successiva Linee guida WP 29 del 4 aprile 2017 con primo emendamento del 4 ottobre 2017 Le linee guida dei Garanti europei che hanno cercato di fornire utili chiarimenti in una materia sicuramente molto complessa. In realtà nelle linee guida viene precisato che l’obbligo di condurre una D. P. I. A., in determinate circostanze, deve essere collocato nel contesto del più generale obbligo imposto ai titolari di gestire correttamente i rischi connessi al trattamento di dati personali. diapositiva successiva D. P. I. A. Cosa si intende per rischio Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità. D’altro canto, la “gestione del rischio” è definibile come l’insieme coordinato delle attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio. Quando si parla di approccio basato sul rischio nel contesto giuridico della protezione dei dati, il riferimento ai “diritti e le libertà” degli interessati va inteso in primo luogo come relativo al diritto alla privacy, ma può riguardare anche altri diritti fondamentali quali la libertà di espressione e di pensiero, la libertà di movimento, il divieto di discriminazioni, il diritto alla libertà di coscienza e di religione. diapositiva successiva Il trattamento dei dati genetici e di salute dei pazienti in un ospedale (sistema informativo dell’ospedale) • I dati sensibili • Dati relativi interessati vulnerabili. D. P. I. A. richiesto? Si L’uso di un sistema di telecamere per monitorare il comportamento di guida in autostrada. Il titolare prevede di utilizzare un sistema di analisi video intelligente per individuare autoveicoli e riconoscere automaticamente le targhe. • Il monitoraggio sistematico • L’uso innovativo o l’applicazione di soluzioni tecnologiche o organizzative. D. P. I. A. richiesto? Si Una società che monitora le attività dei suoi dipendenti inclusa la loro postazione di lavoro, attività internet ecc. • Il monitoraggio sistematico • I dati relativi interessati vulnerabili. D. P. I. A. richiesto? Si La raccolta dei dati dai profili social usate da compagnie private per generare profili per database di contatti • Valutazione o assegnazione di un punteggio • I dati trattati su larga scala. D. P. I. A. richiesto? Si Una rivista online utilizza una mailing list per inviare un sommario giornaliero generico ai suoi abbonati • Nessuno. D. P. I. A. richiesto? Non necessariamente Un sito e-commerce visualizza annunci pubblicitari di auto d’epoca includendo una limitata profilazione ispirata al passato comportamento d’acquisto su alcune parti del proprio sito web • Valutazione o assegnazione di un punteggio, ma non sistematica o estesa. D. P. I. A. richiesto? Non necessariamente Coerentemente con l’approccio basato sul rischio che informa il G. D. P. R. , non è obbligatorio condurre una D. P. I. A. per ogni singolo trattamento. Viceversa, la D. P. I. A. è obbligatoria solo se una determinata tipologia di trattamenti “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35, paragrafo 1). Tuttavia, la semplice circostanza per cui non siano soddisfatte le condizioni che generano un obbligo di condurre la D. P. I. A. non riduce in alcun modo l’obbligo più generale cui soggiacciono i titolari di mettere in atto misure finalizzate a gestire in modo idoneo i rischi per i diritti e le libertà degli interessati. Nelle linee guida viene innanzitutto precisato che una singola D. P. I. A. per quanto può riguardare una sola operazione di trattamento dei dati potrebbe essere utilizzata per valutare molteplici operazioni di trattamento che sono simili in termini di rischi presentati, purché adeguatamente considerate la specifica natura, portata, contesto e finalità del trattamento. diapositiva successiva Metodologia Le linee guida suggeriscono, inoltre, diverse metodologie per effettuare una D. P. I. A. anche se i criteri naturalmente devono essere comuni. In merito è stata predisposta una specifica norma internazionale ISO/IEC 29134 dal titolo “Privacy Impact Assessment – Methodology”, di prossima pubblicazione che propone: un processo molto articolato in 12 passi, a cui ne vanno aggiunti 2 di riesame periodico o ad hoc e di attuazione degli eventuali cambiamenti necessari; un indice in 6 punti per il rapporto di valutazione ed un esempio per la stima degli impatti. Nel considerando 90 del G. D. P. R. sono elencati alcuni elementi della D. P. I. A. che risultano sovrapponibili a elementi ben noti di schemi esistenti per la gestione del rischio (per esempio, ISO 31000). In termini di gestione del rischio, una D. P. I. A. mira a “gestire i rischi” per i diritti e le libertà delle persone fisiche attraverso i processi di seguito indicati: • Definizione del contesto: “tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento e delle fonti di rischio”; • Valutazione dei rischi: “valutare la particolare probabilità e gravità del rischio elevato”; • Gestione dei rischi: “attenuare tale rischio” “assicurando la protezione dei dati personali” e “dimostrando la conformità al regolamento”. diapositiva successiva CONSULTAZIONE PREVENTIVA Nozione (articolo 36 G. D. P. R. ) L’articolo 36 del Regolamento prevede la c.d. consultazione preventiva quando il titolare del trattamento, prima di procedere al trattamento dei dati personali, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio. Se l’Autorità di controllo ritiene che il trattamento previsto non sia conforme al Regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, entro un periodo massimo di otto settimane dalla richiesta di consultazione, fornisce una consulenza per iscritto al titolare del trattamento dei dati, e ove applicabile al responsabile del trattamento. Questo periodo può essere prorogato di ulteriori sei settimane, tenendo conto della complessità del trattamento previsto. Qualora si applichi la proroga, il titolare del trattamento e, ove applicabile, il responsabile del trattamento ne sono informati, incluso dei motivi del ritardo, entro un mese dal ricevimento della richiesta.