EntiOnLine
Categorie
indietro
04/10/2017 GARANTE: DPIA - Raccomandazioni

Conclusioni e raccomandazioni.

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Le valutazioni d'impatto sulla protezione dei dati sono uno strumento utile di cui dispongono i titolari del trattamento per attuare sistemi di trattamento dei dati conformi al regolamento generale sulla protezione dei dati e possono essere obbligatorie per talune tipologie di trattamenti. Hanno natura modulabile e possono assumere forme diverse, tuttavia il regolamento generale sulla protezione dei dati stabilisce i requisiti essenziali di una valutazione d'impatto sulla protezione dei dati efficace. I titolari del trattamento dovrebbero considerare la realizzazione di una valutazione d'impatto sulla protezione dei dati come un'attivita' utile e positiva che contribuisce alla conformita' giuridica.

L'articolo 24, paragrafo 1, definisce la responsabilita' fondamentale del titolare del trattamento in termini di rispetto del regolamento generale sulla protezione dei dati: "Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalita' del trattamento, nonché dei rischi aventi probabilita' e gravita' diverse per i diritti e le liberta' delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario".

La valutazione d'impatto sulla protezione dei dati è un aspetto fondamentale del rispetto del regolamento laddove si preveda di svolgere o si stia svolgendo un trattamento di dati soggetto a rischio elevato. Ciò significa che i titolari del trattamento dovrebbero utilizzare i criteri stabiliti nel presente documento per stabilire se devono realizzare una valutazione d'impatto sulla protezione dei dati o meno. La politica interna dei titolari del trattamento potrebbe estendere questo elenco andando oltre i requisiti giuridici sanciti dal regolamento generale sulla protezione dei dati. Ciò dovrebbe suscitare un maggior senso di fiducia e riservatezza negli interessati e in altri titolari del trattamento.

Qualora si preveda di effettuare un trattamento che possa presentare un rischio elevato, il titolare del trattamento deve:

- scegliere una metodologia per la valutazione d'impatto sulla protezione dei dati (esempi riportati nell'allegato 1) che soddisfi i criteri di cui all'allegato 2, oppure specificare ed attuare un processo sistematico di valutazione d'impatto sulla protezione dei dati che:
o sia conforme ai criteri di cui all'allegato 2;

o sia integrata nei processi in materia di progettazione, sviluppo, cambiamento, rischio e riesame operativo in conformita' con i processi, il contesto e la cultura interni;

o coinvolga le parti interessate appropriate e definisca chiaramente le loro responsabilita' (titolare del trattamento, responsabile della protezione dei dati, interessati o loro rappresentanti, imprese, servizi tecnici, responsabili del trattamento, responsabile della sicurezza dei sistemi d'informazione, ecc.);

  • fornire la relazione relativa alla valutazione d'impatto sulla protezione dei dati all'autorita' di controllo, laddove gli venga richiesto di procedere in tal senso;

  • consultare l'autorita' di controllo, qualora il titolare del trattamento non sia riuscito a determinare misure sufficienti per attenuare i rischi elevati;

  • riesaminare periodicamente la valutazione d'impatto sulla protezione dei dati e il trattamento che essa valuta, almeno quando si registra una variazione del rischio posto dal trattamento;

  • documentare le decisioni prese.

Allegato 1 - Esempi di quadri UE esistenti di valutazione d'impatto sulla protezione dei dati

Il regolamento generale sulla protezione dei dati non specifica quale processo di valutazione d'impatto sulla protezione dei dati debba essere seguito, ma consente piuttosto ai titolari del trattamento di introdurre un quadro che integri le loro pratiche di lavoro esistenti, purchè tenga conto degli elementi costitutivi di cui all'articolo 35, paragrafo 7. Tale quadro può essere personalizzato per lo specifico titolare del trattamento oppure essere comune a un determinato settore. I quadri precedentemente pubblicati sviluppati dalle autorita' di protezione dei dati dell'UE e i quadri specifici di settore dell'UE includono (elenco non esaustivo):

esempi di quadri generici dell'UE:

  • DE: modello per la protezione dei dati standard, V.1.0 - versione di prova, 201631.

    https://www.datenschutzzentrum.de/uploads/SDM-Methodology_V1_EN1.pdf;

  • ES: Guì a para una Evaluaciòn de Impacto en la Protecciòn de Datos Personales (EIPD),

    Agencia espanìola de protecciòn de datos (AGPD), 2014. https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Gui a_EIPD.pdf;

  • FR: Privacy Impact Assessment (PIA), Commission nationale de l'informatique et des liberteìs (CNIL), 2015.

    https://www.cnil.fr/fr/node/15798;

  • UK: Conducting privacy impact assessments code of practice, Information Commissioner's

    Office (ICO), 2014. https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf;

    esempi di quadri UE specifici di settore:

  • Privacy and Data Protection Impact Assessment Framework for RFID Applications [Quadro per

    la realizzazione di valutazioni di impatto sulla protezione della vita privata e dei dati per le applicazioni RFID]32.

    http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-

    recommendation/files/2011/wp180_annex_en.pdf;

  • Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems

    [Modello per la valutazione d'impatto sulla protezione dei dati per la rete intelligente e i sistemi di misurazione intelligenti]33

    31 Approvato all'unanimita' e affermativamente (con l'astensione della Baviera) dalla 92a conferenza delle autorita' indipendenti per la protezione dei dati del Bund e dei Laìnder di Kuìhlungsborn tenutasi il 9 e 10 novembre 2016.
    32 Cfr. anche:

    • Raccomandazione della Commissione, del 12 maggio 2009, sull'applicazione dei principi di protezione della vita privata e dei dati personali nelle applicazioni basate sull'identificazione a radiofrequenza. http://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32009H0387&from=IT;

    • Parere 9/2011 sulla proposta rivista dell'industria relativa a un quadro per la realizzazione di valutazioni di impatto sulla protezione della vita privata e dei dati per le applicazioni RFID. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2011/wp180_it.pdf.

      33 Cfr. anche il "Parere 07/2013 concernente il modello di valutazione d'impatto sulla protezione dei dati per la rete intelligente e i sistemi di misurazione intelligenti ("modello di valutazione d'impatto sulla protezione dei dati") elaborato dal gruppo di esperti n. 2 della task force della Commissione per le reti intelligenti.

http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf. Anche una norma internazionale fornira' orientamenti in merito alle metodologie utilizzate per la

realizzazione di una valutazione d'impatto sulla protezione dei dati (ISO/IEC 2913434).

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion- recommendation/files/2013/wp209_it.pdf.
34 ISO/IEC 29134 (progetto), Information technology – Security techniques – Privacy impact assessment – Guidelines (in inglese), Organizzazione internazionale per la normazione (ISO).

Allegato 2 - Criteri per una valutazione d'impatto sulla protezione dei dati accettabile

Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per stabilire se sia richiesta una valutazione d'impatto sulla protezione dei dati o meno oppure se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente completa per garantire il rispetto del regolamento generale sulla protezione dei dati:

  • una descrizione sistematica del trattamento è fornita (articolo 35, paragrafo 7, lettera a)):
  • la natura, l'ambito di applicazione, il contesto e le finalita' del trattamento sono presi in

    considerazione (considerando 90);

  • vengono registrati i dati personali, i destinatari e il periodo di conservazione dei dati

  • personali;

  • viene fornita una descrizione funzionale del trattamento;

  • sono individuate le risorse sulle quali si basano i dati personali (hardware, software,

  • reti, persone, canali cartacei o di trasmissione cartacea);

  • si tiene conto del rispetto dei codici di condotta approvati (articolo 35, paragrafo 8);

la necessita' e la proporzionalita' sono valutate (articolo 35, paragrafo 7, lettera b)):
sono state determinate le misure previste per garantire il rispetto del regolamento (articolo 35, paragrafo 7, lettera d) e considerando 90):

  • misure che contribuiscono alla proporzionalita' e alla necessita' del trattamento

    sulla base di:

    • finalita' determinate, esplicite e legittime (articolo 5, paragrafo 1, lettera b));

    • liceita' del trattamento (articolo 6);

    • dati personali adeguati, pertinenti e limitati a quanto necessario

      (articolo 5, paragrafo 1, lettera c));

    • limitazione della conservazione (articolo 5, paragrafo 1, lettera e));

  • misure che contribuiscono ai diritti degli interessati:

    • informazioni fornite all'interessato (articoli 12, 13 e 14);

    • diritto di accesso e portabilita' dei dati (articoli 15 e 20);

    • diritto di rettifica e alla cancellazione (articoli 16, 17 e 19);

    • diritto di opposizione e di limitazione di trattamento (articoli 18, 19 e

      21);

    • rapporti con i responsabili del trattamento (articolo 28);

    • garanzie riguardanti trattamenti internazionali (capo V);

    • consultazione preventiva (articolo 36).

      i rischi per i diritti e le liberta' degli interessati sono gestiti (articolo 35, paragrafo 7 lettera c)):

  • l'origine, la natura, la particolarita' e la gravita' dei rischi (cfr. considerando 84) o, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e

    scomparsa dei dati) vengono determinate dalla prospettiva degli interessati:

    • si considerano le fonti di rischio (considerando 90);

    • sono individuati gli impatti potenziali per i diritti e le liberta' degli interessati

      in caso di eventi che includono l'accesso illegittimo, la modifica indesiderata e

      la scomparsa dei dati;

    • sono individuate minacce che potrebbero determinare un accesso illegittimo,

      una modifica indesiderata e la scomparsa dei dati;

    • sono stimate la probabilita' e la gravita' (considerando 90);

  • sono determinate le misure previste per gestire tali rischi (articolo 35, paragrafo 7, lettera d) e considerando 90);
  • le parti interessate sono coinvolte:
  • si consulta il responsabile della protezione dei dati (articolo 35, paragrafo 2);

  • si raccolgono le opinioni degli interessati o dei loro rappresentanti, ove opportuno

    (articolo 35, paragrafo 9).

Fonte: Autorità Garante - Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilita' che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679

Parole chiave
Banca dati