News - 27/04/2018

Privacy, nuovo adempimento: “Valutazione d’impatto privacy (Dpia)”

L’articolo 35 del Regolamento Ue/2016/679 prevede la valutazione di impatto privacy necessaria all’analisi del trattamento dei dati e per la valutazione dei relativi rischi.

Ad un mese dall’entrata in vigore del regolamento europeo sulla privacy (Gdpr) i datori di lavoro in possesso di dati personali dei propri dipendenti (ad esempio dati che rivelino l’origine etnica, le opinioni politiche, le informazioni religiose o dati riguardanti lo stato di salute) sono tenuti a redigere la “Dpia” (data privacy impact assessment) ovvero la valutazione d’impatto privacy.

La Dpia diventerà uno strumento rilevante per le imprese, poiché aiuterà la persona titolare del trattamento dati ad adottare misure idonee alla gestione dei rischi derivanti da tale attività, sensibilizzandolo nel rispetto delle norme previste dal regolamento europeo.

La valutazione di impatto privacy, in molti casi di trattamento, dovrà essere redatta prima di procedere al trattamento dati e necessiterà di un continuo aggiornamento sulla base delle nuove informazioni che verranno acquisite.

I Garanti della privacy a livello europeo, nelle linee guida in materia di Dpia, hanno affermato che la valutazione d’impatto è necessaria anche per i trattamenti di dati già posti in essere qualora vi sia una variazione dei rischi, tenendo conto della natura, dell’ambito di applicazione e delle finalità del trattamento.

Andando nello specifico sulle modalità di attuazione della Dpia, quest’ultima potrà essere eseguita, oltre che dal titolare dei dati, anche da altri soggetti interni o esterni all’azienda.

Nel caso in cui sia stato nominato dall’organizzazione il responsabile della protezione dei Dati, ovvero il Data protection officer (Dpo), quest’ultimo dovrà essere consultato dal titolare del trattamento dati nello svolgimento della valutazione d’impatto privacy.

La Dpia, come stabilito dal regolamento, sarà obbligatoria solo nel caso in cui il trattamento dei dati comporterà per i soggetti rischi elevati per i diritti e le libertà. L’ente, quindi, non sarà sottoposto alla redazione del documento qualora il trattamento dei dati personali non presenterà rischi rilevanti per i diritti e le libertà delle persone interessate o nel caso in cui tali dati siano già stati verificati da parte delle autorità di controllo.

Il documento di valutazione d’impatto privacy dovrà contenere la descrizione dei trattamenti previsti e le relative finalità, la valutazione della necessità e proporzionalità del trattamento e le misure previste per la gestione dei rischi per i diritti e le libertà delle persone fisiche.

Non è dunque previsto un format uniforme per la redazione di tale documento, bensì spetta al titolare del trattamento dati scegliere la metodologia conforme al Regolamento.

Per concludere, non sarà obbligatorio rendere pubblica la Dpia, la decisione spetterà esclusivamente ai titolari dei dati.

Viene comunque consigliata la pubblicazione dalle linee guida, sia per ragioni di trasparenza e responsabilizzazione, sia perché rendendo noto il documento, le persone riporranno maggiore fiducia nel corretto trattamento dei loro dati personali.

Per permettere alle imprese di non arrivare impreparate alle novità introdotte dal Regolamento europeo 2016/679, Unindustria Perform propone nuove edizioni del corso Privacy al fine di formare figure professionali in grado di fornire supporto e consulenza nei processi di Audit Privacy e adeguamento alla nuova normativa.

Per maggiori informazioni: www.unindustriaperform.it

Fonte: Quotidiano del Lavoro de Il Sole24Ore