Want create site? Find Free WordPress Themes and plugins.

Il 4 ottobre è stata emendata ed adottata la versione delle linee guida la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679.

Tali linee guida sono una concretizzazione molto importante degli articoli 35 e 36 del GDPR e forniscono importanti basi per i titolari dei trattamenti che dovranno adeguarsi alla nuova normativa.

Riprendendo testualmente dal documento:

“Il regolamento impone ai titolari di mettere in atto misure idonee a garantire ed essere in grado di dimostrare l’osservanza del regolamento stesso, tenendo conto, fra gli altri, dei “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” (art. 24, paragrafo 1). L’obbligo di condurre una DPIA, in determinate circostanze, deve essere collocato nel contesto del più generale obbligo imposto ai titolari di gestire correttamente i rischi connessi al trattamento di dati personali.
Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità. D’altro canto, la “gestione del rischio” è definibile come l’insieme coordinato delle attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio.
L’art. 35 del regolamento menziona la probabilità di un rischio elevato “per i diritti e le libertà delle persone fisiche”.
Come già chiarito dal Gruppo di lavoro “Articolo 29” nella “Dichiarazione” sul ruolo di un approccio basato sul rischio nel contesto giuridico della protezione dei dati, il riferimento ai “diritti e le libertà” degli interessati va inteso in primo luogo come relativo al diritto alla privacy, ma può riguardare anche altri diritti fondamentali quali la libertà di espressione e di pensiero, la libertà di movimento, il divieto di discriminazioni, il diritto alla libertà di coscienza e di religione.
Coerentemente con l’approccio basato sul rischio che informa il regolamento, non è obbligatorio condurre una DPIA per ogni singolo trattamento. Viceversa, la DPIA è obbligatoria solo se una determinata tipologia di trattamenti “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, paragrafo 1). Tuttavia, la semplice circostanza per cui non siano soddisfatte le condizioni che generano un obbligo di condurre la DPIA non riduce in alcun modo l’obbligo più generale cui soggiacciono i titolari di mettere in atto misure finalizzate a gestire in modo idoneo i rischi per i diritti e le libertà degli interessati. Nella pratica, ciò significa che i titolari devono valutare in modo continuativo i rischi creati dai propri trattamenti così da individuare quelle situazioni in cui una determinata tipologia di trattamenti “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.”

Inoltre si specifica:

“Il fatto che possa rendersi necessario un aggiornamento della DPIA dopo l’inizio effettivo del trattamento non è una buona ragione per differire o evitare di condurre una DPIA. La DPIA è un processo permanente, soprattutto se si ha a che fare con un trattamento dinamico e soggetto a continue trasformazioni. Lo svolgimento della DPIA è un processo continuativo e non un’attività una tantum.”

Questa doverosa precisazione, unita alle linee guida sui responsabili della protezione dati (DPO) orienta ancora una volta maggiormente (se mai ce ne fosse stato ancora il bisogno) sull’applicazione della legge come “trattamentocentrica” mettendo nelle mani dei titolari la possibilità di effettuare valutazioni a monte che potenzialmente potrebbero dare grandissima autonomia sui propri trattamenti, a patto che il rischio residuale venga azzerato completamente o potenzialmente ridotto al minimo.

La DPIA quindi sarà sicuramente importante come singolo adempimento ma sarà ancora più importante il rapporto DPO-azienda che a questo punto non può più essere di tipo consulenziale una tantum ma necessiterà forzatamente di un’attività di aggiornamento e sorveglianza continuativo nell’arco delle operazioni di trattamento.

Sempre a tal riguardo si legge:

“Spetta al titolare garantire l’effettuazione della DPIA (art. 35, paragrafo 2). La conduzione materiale della DPIA può essere affidata a un altro soggetto, interno o esterno all’organismo; tuttavia, la responsabilità ultima dell’adempimento ricade sul titolare del trattamento.

Il titolare deve consultarsi con il responsabile della protezione dei dati (RPD/DPO), ove designato (art. 35, paragrafo 2); tale consultazione e le conseguenti decisioni assunte dal titolare devono essere documentate nell’ambito della DPIA. Il RPD/DPO è chiamato anche a monitorare lo svolgimento della DPIA.”

Questo passaggio conferma sempre più come dal 25 Maggio 2018, i soggetti che andranno a effettuare trattamenti dati nell’ordine di:

• Dati sensibili o dati di natura estremamente personale (sanitario, giudiziario)
• Dati relativi a interessati vulnerabili
• Dati trattati su larga scala
• Monitoraggio sistematico
• Videosorveglianza (sia luoghi di lavoro che al pubblico)

saranno interessati sia dalla necessità della DPIA sia dalla necessità del DPO, quantomeno anche solo per la realizzazione della stessa.

L’intento quindi che arriva dal legislatore si fa sempre più chiaro: meno fogli e burocrazia spicciola e un chiaro indirizzo per le aziende a cercare personale specializzato che le assista, oltre che negli adempimenti specifici, nel loro percorso di gestione dell’accountability non solo alla ricerca di una compliance fittizia quanto in una azione continua e costante di aggiornamento e sorveglianza.

Vedremo se nei prossimi mesi (anche se ormai si inizia a parlare di settimane) le aziende sapranno farsi trovare preparate con azioni lungimiranti o se, arrivati a pochi giorni dalla scadenza, termini come audit periodici, privacy by design e by default, accountability saranno ancora oscuri innescando una corsa contro il tempo a pochi giorni dal 25 Maggio 2018.

Consulente privacy

 

Attenzione: questo articolo ha più di 90 giorni. Il contenuto potrebbe essere obsoleto o già aggiornato da altri articoli
Did you find apk for android? You can find new Free Android Games and apps.

Posted by Redazione

Marco Vettori, consulente privacy officer certificato TUV e consulente IT, già da oltre 15 anni si occupa di privacy, sicurezza informatica ed integrazione nei processi aziendali, con un occhio particolare alle nuove tecnologie con il miglior rapporto innovazione/sicurezza. Da anni è inoltre Auditor ISO 27001 e implementatore dei SGSI

Leave a reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *