Una decisione on-label sull'uso off-label dei vaccini Covid United Lawyers for Freedom - ALI Avvocati Liberi - 31/10/24  |  Voli cancellati e ritardi: annullata la conciliazione obbligatoria Diego Ferraro e Sonia Coppola - 30/10/24  |  La scienza smascherata United Lawyers for Freedom - ALI Avvocati Liberi - 21/06/23  |  Compiti a casa: i docenti devono usare il registro elettronico  Redazione - 12/04/23  |  Annullate multe over50: la prima sentenza United Lawyers for Freedom - ALI Avvocati Liberi - 26/03/23  |  

Privacy: la valutazione di impatto sulla protezione dei dati

I casi in cui è richiesta la valutazione di impatto in base al regolamento privacy europeo e i chiarimenti contenuti nelle linee guida ex art. 29 WP


Avv. Edoardo Di Mauro - Il 25 maggio 2018 entrerà in vigore il Reg. UE 679/2018 che disciplina anche il DPIA, acronimo inglese di Data Protection Impact Assessment, valutazione d'impatto sulla protezione dei dati.

La valutazione d'impatto sulla protezione dei dati

L'articolo 35 del regolamento stabilisce che quando un tipo di trattamento - allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento - può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare effettua, prima di procedere al trattamento stesso, una valutazione dell'impatto sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

Privacy: quando è richiesta la valutazione d'impatto

La valutazione d'impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Privacy: quando il trattamento presenta un rischio elevato

A tal proposito il Gruppo di lavoro ex art. 29, il 4 aprile 2017 ha adottato le Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679.

Sono stati pertanto fornite indicazioni più concrete rispetto ai trattamento che richiedono una DPIA e alcuni criteri.

Secondo quanto contenuto nelle linee guida:

"A titolo esemplificativo si possono citare un istituto finanziario che effettui lo screening dei propri clienti utilizzando un database di rischio creditizio ovvero un database per la lotta alle frodi o al riciclaggio e al finanziamento del terrorismo (AML/CTF); una società operante nel settore delle biotecnologie che offra test genetici direttamente ai consumatori per finalità predittive del rischio di determinate patologie o in generale per lo stato di salute; una società che crei profili comportamentali o di marketing a partire dalle operazioni o dalla navigazione compiute sul proprio sito web".

Il gruppo di lavoro raccomanda di tenere conto, in particolare, dei fattori seguenti al fine di stabilire se un trattamento sia svolto su larga scala:

a. numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento;

b. volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento;

c. durata, o persistenza, dell'attività di trattamento;

d. ambito geografico dell'attività di trattamento.

Per ulteriori informazioni:

Avv. Edoardo Di Mauro

Cell. 3334588540

Mail: edodim83@gmail.com

Data: 15/11/2017 18:30:00
Autore: Edoardo Di Mauro