Privacy: la valutazione di impatto sulla protezione dei dati
Avv. Edoardo Di Mauro - Il 25 maggio 2018 entrerà in vigore il Reg. UE 679/2018 che disciplina anche il DPIA, acronimo inglese di Data Protection Impact Assessment, valutazione d'impatto sulla protezione dei dati.
La valutazione d'impatto sulla protezione dei dati
L'articolo 35 del regolamento stabilisce che quando un tipo di trattamento - allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento - può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare effettua, prima di procedere al trattamento stesso, una valutazione dell'impatto sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
Privacy: quando è richiesta la valutazione d'impatto
La valutazione d'impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Privacy: quando il trattamento presenta un rischio elevato
A tal proposito il Gruppo di lavoro ex art. 29, il 4 aprile 2017 ha adottato le Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679.
Sono stati pertanto fornite indicazioni più concrete rispetto ai trattamento che richiedono una DPIA e alcuni criteri.
Secondo quanto contenuto nelle linee guida:
"A titolo esemplificativo si possono citare un istituto finanziario che effettui lo screening dei propri clienti utilizzando un database di rischio creditizio ovvero un database per la lotta alle frodi o al riciclaggio e al finanziamento del terrorismo (AML/CTF); una società operante nel settore delle biotecnologie che offra test genetici direttamente ai consumatori per finalità predittive del rischio di determinate patologie o in generale per lo stato di salute; una società che crei profili comportamentali o di marketing a partire dalle operazioni o dalla navigazione compiute sul proprio sito web".
Il gruppo di lavoro raccomanda di tenere conto, in particolare, dei fattori seguenti al fine di stabilire se un trattamento sia svolto su larga scala:
a. numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento;
b. volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento;
c. durata, o persistenza, dell'attività di trattamento;
d. ambito geografico dell'attività di trattamento.
Per ulteriori informazioni:
Avv. Edoardo Di Mauro
Cell. 3334588540
Mail: edodim83@gmail.com
Data: 15/11/2017 18:30:00Autore: Edoardo Di Mauro