lunedì 18.12.2017
caricamento meteo
Sections

La valutazione d’impatto ai sensi del nuovo Regolamento sui dati personali

Su Agenda Digitale Andrea Reghelin illustra le indicazioni operative in materia di Data protection impact assessment fornite di recente dal Gruppo europeo dei Garanti privacy
La valutazione d’impatto ai sensi del nuovo Regolamento sui dati personali

foto di janneke staaks (flic.kr/p/nVGMsH - CC BY-NC 2.0)

Cosa si intende per Data protection impact assessment e quali sono le modalità per effettuare questa attività alla luce di quanto disposto col nuovo Regolamento comunitario in materia di tutela dei dati personali? Alla domanda ha risposto di recente il Gruppo europeo dei Garanti privacy (WP29), emanando delle linee guida e altri documenti operativi che, tra le altre cose, contengono anche indicazioni in materia. Su Agenda Digitale, un articolo a firma di Andrea Reghelin sintetizza quanto formulato in tal senso.

In questo periodo - si legge in apertura dell’articolo - il Gruppo di lavoro ex art. 29 (WP29) sta intervenendo con una serie di provvedimenti volti a fornire utili chiarimenti per una corretta interpretazione di quanto statuito dal Regolamento europeo n. 2016/679 (...)

In tal senso, infatti, nella seduta dello scorso 4 ottobre, il Gruppo di lavoro ha emanato non solo la versione definitiva delle linee guida in materia di valutazione d’impatto (doc. WP248rev.01), ma anche ha predisposto una prima bozza delle linee guida, attualmente in consultazione, relative alle tematiche del data breach, della profilazione, nonché dell’applicazione delle sanzioni amministrative.

Andando più nello specifico, tra le molteplici previsioni del GDPR, l’art. 35 introduce per la prima volta l’istituto della valutazione d’impatto, in precedenza non previsto dalla Direttiva 95/46/CE dal nostro Codice per la protezione dei dati personali (d.lgs. 196/2003) che per trattamenti che presentano rischi specifici disciplina l’obbligo di verifica preliminare davanti all’Autorità Garante.

In estrema sintesi la DPIA (Data protection impact assessment) consiste in una valutazione preliminare (fatta dallo stesso titolare) degli impatti a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati. Sebbene l’art. 35, paragrafo 3, del GDPR individui espressamente i casi in cui la valutazione d’impatto risulti essere necessaria (ad esempio in caso di trattamento automatizzato o di sorveglianza sistematica su larga scala), tuttavia la norma in esame non definisce una metodologia specifica per l’effettuazione di tali analisi ma solo gli aspetti che deve prendere in considerazione.

Il Gruppo di lavoro ha individuato alcuni casi di obbligatorietà della DPIA, precisando come l’elenco previsto dall’art. 35 del GDPR non deve essere interpretato come esaustivo e completo....

Continua a leggere su Agenda Digitale

Azioni sul documento
Pubblicato il 23/11/2017 — ultima modifica 07/11/2017
Aggiungi commento

Puoi aggiungere un commento riempiendo il form sottostante. Formattato come testo semplice. I commenti sono moderati.

Domanda: Quanto fa sette più due ?
La tua risposta:

ParER - Polo archivistico regionale dell'Emilia-Romagna Viale Aldo Moro 64, 40127 Bologna - Tel. +39 051 527 3317 - email: redazioneparer@regione.emilia-romagna.it

IBACN, via Galliera, 21 - 40121 Bologna - Tel. +39 051 527 66 00 - Fax +39 051 232 599

Regione Emilia-Romagna (CF 800.625.903.79) - Viale Aldo Moro 52, 40127 Bologna - Centralino: 051.5271

Ufficio Relazioni con il Pubblico: Numero Verde URP: 800 66.22.00, urp@regione.emilia-romagna.it, urp@postacert.regione.emilia-romagna.it

Strumenti personali