Quale regola si applica ai trattamenti già esistenti?
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
L’obbligo di svolgere una valutazione d'impatto sulla protezione dei dati si applica alle operazioni di trattamento esistenti che possono presentare un rischio elevato per i diritti e le liberta' delle persone fisiche e per le quali vi eÌ� stata una variazione dei rischi, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalita' del trattamento.
Non e� necessaria una valutazione d'impatto sulla protezione dei dati per i trattamenti che sono stati verificati da un'autorita' di controllo o dal responsabile della protezione dei dati, a norma dell'articolo 20 della direttiva 95/46/CE e che vengono eseguiti in maniera tale da fare si� che non si sia registrata alcuna variazione rispetto alla verifica precedente. In effetti, "[l]e decisioni della Commissione e le autorizzazioni delle autorita' di controllo basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non vengono modificate, sostituite o abrogate" (considerando 171).
Al contrario, cio� significa che qualsiasi trattamento di dati le cui condizioni di attuazione (ambito di applicazione, finalita', dati personali raccolti, identita' dei titolari del trattamento o dei destinatari, periodo di conservazione dei dati, misure tecniche e organizzative, ecc.) sono mutate rispetto alla prima verifica effettuata dall'autorita' di controllo o dal responsabile della protezione dei dati e che possono presentare un rischio elevato devono essere soggette a una valutazione d'impatto sulla protezione dei dati.
Inoltre, potrebbe essere richiesta una valutazione d'impatto sulla protezione dei dati in seguito a una variazione dei rischi derivante dalle operazioni di trattamento22, ad esempio perche� e� entrata in uso una nuova tecnologia o perche� i dati personali vengono utilizzati per una finalita' diversa. Le operazioni di
21 Quando viene svolta una valutazione d'impatto sulla protezione dei dati in fase di elaborazione della legislazione che fornisce una base giuridica per un trattamento, e� probabile che la stessa richieda un riesame prima dell'avvio delle attivita', in quanto la legislazione adottata puo� differire dalla proposta ed influenzare quindi questioni in materia di vita privata e protezione dei dati. Inoltre, potrebbero non esserci sufficienti dettagli tecnici per quanto riguarda il trattamento effettivo al momento dell'adozione della legislazione, anche qualora detto trattamento sia accompagnato da una valutazione d'impatto sulla protezione dei dati. In questi casi, puo� comunque essere necessario eseguire una valutazione d'impatto sulla protezione dei dati specifica prima di realizzare le attivita' di trattamento effettive.
22 In termini di contesto, i dati raccolti, le finalita', le funzionalita', i dati personali trattati, i destinatari, le combinazioni di dati, i rischi (risorse di sostegno, fonti di rischio, impatti potenziali , minacce, ecc.), le misure di sicurezza e i trasferimenti internazionali.
trattamento dei dati possono evolversi rapidamente e potrebbero emergere nuove vulnerabilita'. Di conseguenza, va osservato che la revisione di una valutazione d'impatto sulla protezione dei dati non e� utile soltanto ai fini di un miglioramento continuo, bensi� anche fondamentale per mantenere il livello di protezione dei dati in un ambiente che muta nel corso del tempo. Una valutazione d'impatto sulla protezione dei dati potrebbe rendersi necessaria anche perche� il contesto organizzativo o sociale per l'attivita' di trattamento e� mutato, ad esempio perche� gli effetti di determinate decisioni automatizzate sono diventati piu� significativi oppure perche� nuove categorie di interessati sono diventati vulnerabili alla discriminazione. Ciascuno di questi esempi potrebbe costituire un aspetto che porta a una variazione del rischio derivante dall'attivita' di trattamento interessata.
Al contrario, talune modifiche potrebbero anche ridurre il rischio. Ad esempio, un trattamento potrebbe evolvere in modo tale da fare si� che le decisioni non siano piu� automatizzate oppure si pensi al caso in cui un'attivita' di monitoraggio non viene piu� eseguita in maniera sistematica. In questo caso, il riesame dell'analisi dei rischi puo� mostrare che non e� piu� necessario eseguire una valutazione d'impatto sulla protezione dei dati.
Secondo le buone prassi, una valutazione d'impatto sulla protezione dei dati va riesaminata continuamente e rivalutata con regolarita'. Di conseguenza, anche se una valutazione d'impatto sulla protezione dei dati non e� richiesta il 25 maggio 2018, al momento opportuno, il titolare del trattamento sara' tenuto a svolgere tale valutazione nel contesto dei suoi obblighi generali di responsabilizzazione.
Fonte: Autorità Garante - Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilita' che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679