GDPR Privacy 2018

Valutazione di impatto

You are here:

Home
Il GDPR dell’UE: Come funziona
Valutazione di impatto

Il titolare del trattamento, dopo aver condotto la valutazione dei rischi prevista all’art.32, procede con la valutazione di impatto prevista all’art.35 del GDPR

La valutazione di impatto, a differenza della valutazione dei rischi che è obbligatoria in tutte le circostanze, deve essere effettuata in presenza di rischi che possono compromettere i diritti e le libertà fondamentali degli interessati.

A differenza della valutazione dei rischi che riguarda l’accesso non autorizzato, la distruzione volontaria, la divulgazione non autorizzata e il trafugamento per fini impropri, la valutazione serve a comprendere quali trattamenti e quali tipologie di operazioni possono danneggiare l’individuo.

Facendo riferiento all’art. 35 del GDPR la valutazione di impatto va effettuata quando:

Nell’Organizzazione viene effettuata una valutazione sistematica e ampia degli aspetti personali riguardanti le persone fisiche basata su un trattamento automatizzato, compresa la profilazione, e su cui si fondano le decisioni che producono effetti giuridici sulla persona fisica o che in modo analogo influenzano in modo significativo la persona fisica.

Kit documentale per adempimenti GDPR Privacy | Per aziende & consulenti

Le Linee Guida al GDPR inoltre specificano che il titolare del trattamento può analizzare in concreto l’effettiva esistenza delle seguenti condizioni per procedere con la Valutazione di impatto privacy (VIA):

Profilazione

Valutazione o assegnazione di un punteggio, inclusa la profilazione e la previsione, in particolare di “aspetti riguardanti le prestazioni del soggetto interessato sul lavoro, situazione economica, salute, preferenze o interessi personali, affidabilità o comportamento, posizione o movimenti” (considerando 71 e 91).

Effetti giuridici sulla persona

Decisioni automatizzate con significativi effetti legali o simili: trattamento che mira a prendere decisioni su soggetti interessati, le quali producono “effetti giuridici sulla persona fisica” o “influenzano in modo significativo la persona fisica” (articolo 35, paragrafo 3, lettera a).

Zone accessibili al pubblico

Monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare i soggetti interessati, compresi i dati raccolti tramite reti o “un monitoraggio sistematico di una zona accessibile al pubblico” (articolo 35, paragrafo 3, lettera c). Questo tipo di monitoraggio è un criterio in quanto i dati personali possono essere raccolti in circostanze in cui gli interessati potrebbero non essere a conoscenza di chi raccoglie i propri dati e di come saranno utilizzati. Inoltre, può essere impossibile per gli individui evitare di essere sottoposti a tale elaborazione in spazi pubblici (o pubblicamente accessibili).

Dati particolari (ex. sensibili)

Dati sensibili o dati di carattere altamente personale: comprendono categorie speciali di dati personali come definiti all’articolo 9 (ad esempio informazioni sulle opinioni politiche degli individui), nonché dati personali relativi a sentenze penali o reati di cui all’articolo 10.

Larga scala

I dati elaborati su vasta scala considerando: il numero di soggetti interessati in questione, sia come numero specifico, sia come percentuale della popolazione rilevante; il volume dei dati e/o l’intervallo di diversi tipi di dati in fase di elaborazione; la durata o la permanenza dell’attività di trattamento dei dati.

Incrocio dei dati

Corrispondenza o combinazione di set di dati, ad esempio derivanti da due o più operazioni di trattamento, eseguite per scopi diversi e/o da titolari di dati diversi in modo da andare oltre le ragionevoli aspettative del soggetto.

Soggetti vulnerabili

Dati relativi a soggetti vulnerabili (considerando 75): il trattamento di questo tipo di dati rientra tra i criteri a causa dell’aumento dello squilibrio di potere tra i soggetti interessati e il titolare del trattamento, il che significa che gli individui possono non essere in grado di consentire o opporsi facilmente al trattamento dei propri dati o di esercitare i propri diritti. I soggetti vulnerabili possono includere i bambini (si può considerare che non siano in grado di opporsi in modo consapevole e ponderato al trattamento dei loro dati), dipendenti o ancora soggetti più vulnerabili della popolazione che richiedano protezione speciale (persone con malattie mentali, richiedenti asilo, anziani, pazienti, ecc.) e tutti quei casi in cui sia possibile identificare uno squilibrio nella relazione tra la posizione del soggetto e quella del titolare.

Nuove applicazioni tecnologiche

Uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative, come combinare l’uso del riconoscimento facciale e delle impronte digitali per un miglior controllo fisico degli accessi, ecc. Il GDPR chiarisce (articolo 35, paragrafo 1, e considerando 89 e 91) che l’uso di una nuova tecnologia, definita “conforme allo stato raggiunto dalla conoscenza tecnologica” (considerando 91), può comportare la necessità di eseguire una DPIA. Questo perché l’utilizzo di tale tecnologia può includere nuove forme di raccolta e utilizzo di dati, potenzialmente con un elevato rischio per i diritti e le libertà degli individui. Infatti, le conseguenze personali e sociali della diffusione di una nuova tecnologia potrebbero essere sconosciute. Una DPIA aiuterà il titolare dei dati a capire e affrontare tali rischi. Ad esempio, alcune applicazioni dell”Internet delle cose (Internet of things, IoT)” potrebbero avere un impatto significativo sulla vita quotidiana degli individui e sulla privacy; e quindi richiedono una DPIA.

Impossibilità di esercitare il diritto

Quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di usufruire di un servizio o un contratto” (articolo 22 e considerando 91). Ciò include operazioni di trattamento che mirano a consentire, modificare o rifiutare l’accesso dei soggetti dati a un servizio o alla stipula di un contratto. Ad esempio quando una banca filtra i dati dei propri clienti su un database di riferimento di credito per decidere se concedere loro un prestito.

Come procedere con la valutazione di impatto

Per prima cosa è necessario la descrizione del trattamento stabilendo:

Natura, ambito di applicazione, contesto e finalità del trattamento
Destinatari e periodo di conservazione
Descrizione funzionale del trattamento
Risorse impiagate per il trattamento (hardware, software, reti, persone, trasmissione cartacee)
Codici di condotta da rispettare
La valutazione della necessità e della proporzionalità del trattamento
Rischi per i diritti e le libertà degli interessati
Origine, natura, particolarità e gravità dei rischi
Misure per gestire tali rischi

Dalla valutazione di impatto alla consultazione preventiva del Garante

Successivamente e quindi a seguito di un’analisi di contesto all’interno del quale vengono trattati i dati personali, il titolare del trattamento deve passare a individuare, per ciascun rischio, le misure tecniche ed organizzative in grado di tenere il rischio ad un livello accettabile.

Se le misure tecniche ed organizzative non dovessero risultare efficaci o convincenti allora il titolare procederà con la consultazione preventiva del garante prevista all’Art.36.

Esempi e dimostrativi del Kit Privacy per aziende e consulenti

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Sempre abilitato

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Others

This popup will close in:

CHIUDI