Privacy By admin2

Il GDPR, come abbiamo visto, assegna al titolare il compito di individuare le misure organizzative e tecniche per garantire il rispetto della disciplina in materia di trattamento di dati personali. In questo contesto si inseriscono anche la valutazione d’impatto sulla protezione dei dati e la consultazione preventiva. La valutazione d’impatto sulla protezione dei dati deve essere preventivamente effettuata quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Questa valutazione (non semplice) è stata oggetto di specifiche linee guida(1) dell’“Art. 29 Working Party”(2). Oltre a questa ipotesi generale, il GDPR individua tre ipotesi specifiche, per le quali la valutazione è richiesta, che sono:

  1.  Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sulle persone stesse;
  2.  Il trattamento, su larga scala, di categorie particolari di dati personali (dati sensibili e dati biometrici), o di dati relativi a condanne penali e a reati;
  3.  La sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

 

Il Garante dovrà rendere pubblico un elenco di trattamenti per i quali si renderà necessaria la valutazione d’impatto, e potrà anche redigere un elenco che, in negativo, individui le tipologie di trattamento per le quali non sarà richiesta alcuna valutazione. Difficilmente gli istituti scolastici (salvi casi particolarissimi) saranno tenuti a svolgere una valutazione d’impatto privacy, ma comunque solamente la pubblicazione di questi elenchi sarà idonea a fugare ogni dubbio. Il contenuto e la procedura della valutazione sono disciplinate dall’art. 35 del GDPR, e sul punto possono essere molto utili le recenti Guidelines for privacy impact assessment, contenute nello standard ISO/IEC 29134:2017 (3). Qualora la valutazione d’impatto indichi che il trattamento presenti un rischio elevato, in assenza di misure adottate dal titolare del trattamento per attenuare il rischio, allora si dovrà procedere alla consultazione preventiva con l’Autorità Garante, secondo il procedimento delineato dall’art. 36 del GDPR.

 

(1)Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 – http://ec.europa.eu/newsroom/document.cfm?doc_id=44137.

(2) L’Article 29 Working Party è un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione Europea.

(3)ISO/IEC 29134:2017, Information technology — Security techniques — Guidelines for privacy impact assessment – https://www.iso.org/standard/62289.html.

FONTE :MIUR

Tags: ,