privacy self enti locali

Le Autorità di protezione dati europee hanno adottato le Linee guida in materia di valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).

La principale novità introdotta dal Regolamento europeo 2016/679 è il principio di “responsabilizzazione” (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali.

In quest’ottica, la nuova disciplina impone alle pubbliche amministrazioni un diverso approccio nel trattamento dei dati personali, prevede nuovi adempimenti e richiede un’intensa attività di adeguamento, preliminare alla sua definitiva applicazione a partire dal 25 maggio 2018.

La DPIA, introdotta dal Regolamento europeo 2016/679, consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali (attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli).

Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l’autorità di controllo in caso le misure tecniche e organizzative da loro stessi  individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti  – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Le linee-guida del WP29 offrono alcuni chiarimenti sul punto.

In particolare precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento all’art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

In base al regolamento, l’inosservanza degli obblighi concernenti la DPIA può comportare l’imposizione di sanzioni pecuniarie da parte della competente autorità di controllo.

Il mancato svolgimento della DPIA quando il trattamento è soggetto a tale valutazione (art. 35, paragrafi 1 e 3 – 4), lo svolgimento non corretto di una DPIA (art. 35, paragrafi 2 e 7- 9) o la mancata consultazione dell’autorità di controllo competente ove ciò sia necessario (art. 36, paragrafo 3, lettera e) ) possono comportare l’irrogazione di una sanzione amministrativa pecuniaria fino a un massimo di 10 milioni di Euro, ovvero – se si tratta di un’impresa – fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore.

 

Se sei interessato ad approfondire il nuovo quadro regolatorio e le importanti novità introdotte dal Regolamento (UE) 2016/679 (regolamento generale in materia di protezione dati), la cui piena applicazione è prevista dal 25 maggio 2018, CONTATTACI.

Self organizza, su richiesta, progetti formativi personalizzati, al fine di accompagnare il processo di adeguamento dei soggetti pubblici alle nuove norme.

Si segnala il ns. seminario di studi “Accesso civico generalizzato (FOIA): problematiche applicative” in programma per l’8 novembre p.v.