Quando non e' richiesta una valutazione d'impatto sulla protezione dei dati?
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Quando il trattamento non e' tale da "presentare un rischio elevato" oppure qualora esista una valutazione d'impatto sulla protezione dei dati analoga, o qualora il trattamento sia stato autorizzato prima del maggio 2018 oppure abbia una base giuridica o sia incluso nell'elenco delle tipologie di trattamento per le quali non e' richiesta una valutazione d'impatto sulla protezione dei dati.
Il WP29 ritiene che una valutazione d'impatto sulla protezione dei dati non sia richiesta nei seguenti casi:
quando il trattamento non e' tale da "presentare un rischio elevato per i diritti e le liberta' delle persone fisiche" (articolo 35, paragrafo 1);
quando la natura, l'ambito di applicazione, il contesto e le finalita' del trattamento sono molto simili a un trattamento per il quale e' stata svolta una valutazione d'impatto sulla protezione dei dati. In tali casi, si possono utilizzare i risultati della valutazione d'impatto sulla protezione dei dati per un trattamento analogo (articolo 35, paragrafo 119);
quando le tipologie di trattamento sono state verificate da un'autorita' di controllo prima del maggio 2018 in condizioni specifiche che non sono cambiate20 (cfr. III.C);
qualora un trattamento, effettuato a norma dell'articolo 6, paragrafo 1, lettere c) o e), trovi una base giuridica nel diritto dell'Unione o nel diritto dello Stato membro, tale diritto disciplini il trattamento specifico o sia gia' stata effettuata una valutazione d'impatto sulla protezione dei dati nel contesto dell'adozione di tale base giuridica (articolo 35, paragrafo
18 In tale contesto, "l'autorita' di controllo competente applica il meccanismo di coerenza di cui all'articolo 63 se tali elenchi comprendono attivita' di trattamento finalizzate all'offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in piu' Stati membri, o attivita' di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione" (articolo 35, paragrafo 6).
19 "Una singola valutazione puo' esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi".
20 "Le decisioni della Commissione e le autorizzazioni delle autorita' di controllo basate sulla direttiva 95/46/CE rimangono in vigore fino a quando non vengono modificate, sostituite o abrogate" (considerando 171).
10)21, a meno che uno Stato membro non abbia dichiarato che e' necessario effettuare tale
valutazione prima di procedere alle attivita' di trattamento;
- qualora il trattamento sia incluso nell'elenco facoltativo (stabilito dall'autorita' di
controllo) delle tipologie di trattamento per le quali non e' richiesta alcuna valutazione d'impatto sulla protezione dei dati (articolo 35, paragrafo 5). Tale elenco puo' contenere attivita' di trattamento conformi alle condizioni specificate da detta autorita', in particolare attraverso linee guida, decisioni o autorizzazioni specifiche, norme di conformita', ecc. (ad esempio in Francia, autorizzazioni, esenzioni, norme semplificate, pacchetti di conformita', ecc.). In tali casi e a condizione che venga eseguita una nuova valutazione da parte dell'autorita' di controllo competente, non e' richiesta una valutazione d'impatto sulla protezione dei dati, ma soltanto se il trattamento rientra a tutti gli effetti nel campo di applicazione della procedura pertinente menzionata nell'elenco e continua a rispettare pienamente tutti i requisiti pertinenti del regolamento generale sulla protezione dei dati.
Fonte: Autorità Garante - Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilita' che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679