Valutazione d’impatto sulla protezione dei dati
Da oggi (25/05/2018) viene applicato il regolamento (UE) 2016/679, l’articolo 35 introduce il concetto di valutazione d’impatto sulla protezione dei dati, così come previsto anche dalla direttiva 2016/680.
La valutazione d’impatto sulla protezione dei dati è un processo per interpretare il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli. Le valutazioni sono strumenti fondamentali per la responsabilizzazione in quanto sostengono i titolari del trattamenti non soltanto nel rispettare i requisiti del regolamento sulla protezione dei dati, ma anche nel dimostrare che sono state adottate misure appropriate per garantire il rispetto del regolamento, quindi la valutazione è un processo inteso a garantire e dimostrare la conformità.
Valutazione d’impatto
Se nel caso venisse a mancare un’esecuzione di una valutazione d’impatto sulla protezione dei dati, o un errata valutazione, possono comportare una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di EUR oppure, nel caso di un’impresa, pari a fino al 2% del fatturato annuo globale dell’anno precedente, a seconda di quale dei due importi sia quello superiore.
Il regolamento prevede che i titolari del trattamento attuino misure adeguate per garantire ed essere in grado di dimostrare il rispetto di detto regolamento, tenendo conto tra l’altro dei “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”. L’obbligo per i titolari del trattamento di realizzare una valutazione d’impatto sulla protezione dei dati va inteso nel contesto dell’obbligo generale, cui gli stessi sono soggetti, di gestire adeguatamente i rischi presentati dal trattamento di dati personali.
Un “rischio” è uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità. La “gestione dei rischi”, invece, può essere definita come l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi.
Esempio Trattamento Valutazione
Al contrario, un trattamento può corrispondere ai casi di cui sopra ed essere comunque considerati dal titolare del trattamento un trattamento tale da non “presentare un rischio elevato”. In tali casi il titolare del trattamento deve giustificare e documentare i motivi che lo hanno spinto a non effettuare una valutazione d’impatto sulla protezione dei dati, nonché includere/registrare i punti di vista del responsabile della protezione dei dati.