In merito alla valutazione di impatto sulla protezione dei dati, e' necessario richiedere il parere del RPD ?
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Ai sensi dell'art. 39, comma 1, lett. c) del Regolamento, il responsabile della protezione dei dati e' incaricato, tra gli altri compiti, di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento (ai sensi dell’articolo 35).
Ai sensi del citato art. 35 del Regolamento, quando un tipo di trattamento, allorche' prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalita' del trattamento, puo' presentare un rischio elevato per i diritti e le liberta' delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione puo' esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
La valutazione d’impatto sulla protezione dei dati e' richiesta in particolare nei casi seguenti:
una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
il trattamento, su larga scala, di categorie particolari di dati personali (di cui all’articolo 9, paragrafo 1, del regolamento), o di dati relativi a condanne penali e a reati (di cui all’articolo 10 del regolamento);
la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
L’autorita' di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. L’autorita' di controllo comunica tali elenchi al comitato europeo della protezione dei dati (di cui all'art. 68 del regolamento).
L’autorita' di controllo puo' inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non e' richiesta una valutazione d’impatto sulla protezione dei dati. L’autorita' di controllo comunica tali elenchi al comitato.
Prima di adottare i citati elenchi, l’autorita' di controllo competente applica il meccanismo di coerenza (di cui all’articolo 63 del regolamento) se tali elenchi comprendono attivita' di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in piu' Stati membri, o attivita' di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.
La valutazione contiene almeno:
una descrizione sistematica dei trattamenti previsti e delle finalita' del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
una valutazione della necessita' e proporzionalita' dei trattamenti in relazione alle finalita';
una valutazione dei rischi per i diritti e le liberta' degli interessati;
le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformita' al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili e' tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati (di cui all’articolo 40 del regolamento), in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.
Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attivita' relative al trattamento.
Fonte: Autorità Garante - Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016