Previous Page  39 / 53 Next Page
Information
Show Menu
Previous Page 39 / 53 Next Page
Page Background

SPECIALE GDPR

zazione e di indicare per ciascuno di questi la specificità

dei trattamenti effettuati.

Costituisce inoltre una valida base di partenza per pia-

nificare le azioni da intraprendere e può essere molto

utile per individuare i trattamenti che richiedono una

valutazione di impatto privacy.

Alla luce di ciò, anche qualora non vi sia uno specifico

obbligo di tenuta del Registro dei Trattamenti, è co-

munque consigliabile averlo, eventualmente in versione

più stringata (con opportuna documentazione a parte).

Valutazione di impatto sulla protezione dei dati

Un’altra scelta di tutela sostanziale effettuata dal GDPR,

che fa venire meno l’obbligo generale di notifica del trat-

tamento dei dati all’Autorità Garante per la protezio-

ne dei dati personali, è rappresentata dall’introduzione

della Valutazione di impatto sulla protezione dei dati,

conosciuta anche come DPIA (Data Protection Impact

Assessment).

La DPIA non si esegue per ogni tipologia di trattamento

di dati, ma solo su quelli che potenzialmente presentano

un rischio elevato per i diritti e le libertà delle persone

fisiche, per loro natura, ambito di applicazione, conte-

sto e finalità. Nella sostanza, si tratta di una valutazione

dell’impatto che i trattamenti dati potrebbero avere, al

fine di identificare i rischi connessi e analizzandone in

particolare l’origine, la particolarità e la gravità.

L’esito della valutazione è utile per la determinazione

delle opportune misure da adottare affinchè il tratta-

mento dei dati personali risulti in conformità con le

norme del GDPR.

È un’attività che va fatta prima di procedere al trattamen-

to e che si lega molto all’elemento del rischio, il quale

deve presentarsi come probabile (come accadimento

concreto, non come possibilità astratta) e grave.

Se esistono entrambe queste condizioni, si procede alla

sua effettuazione a meno che il tipo di trattamento non

rientri nella lista di trattamenti esenti dall’obbligo di DPIA,

che il Garante per la protezione dei dati personali avrà

il compito di redigere.

Al contrario, invece, vi sono dei casi elencati nell’art. 35

comma 3 GDPR in cui a prescindere dall’elemento del

rischio, la DPIA va comunque espletata. Per il dettaglio

sui casi obbligatori vedi box.

Come realizzare la DPIA

Circa il contenuto della DPIA il Regolamento dà poche

indicazioni specifiche. È intervenuto però il Gruppo di

lavoro ex art. 29, un organismo indipendente avente

funzioni consultive, che con il parere WP 248 “Guideli-

nes on Data Protection Impact Assessment” del 4 aprile

scorso ha fornito una scheda di contenuto per una DPIA

definita ‘accettabile’.

Il responsabile dell’effettuazione della DPIA è il titolare

del trattamento, ma nulla vieta che egli possa coinvol-

gere altri soggetti, come per esempio consulenti ester-

ni, responsabili del trattamento o categorie di soggetti

interessati dal trattamento oggetto di DPIA.

Anche il responsabile della protezione dei dati può agire

quale consulente del titolare, oltre ad avere il compito di

vigilare su quanto compiuto in questo processo.

Qualora l’esito della DPIA indichi che i trattamenti pre-

sentano un rischio elevato, probabile e grave che il ti-

tolare del trattamento non può attenuare mediante

misure opportune in termini di tecnologia disponibile

e costi di attuazione, si apre una fase di consultazione

preventiva di fronte all’autorità di controllo, specificata

dall’art. 36 del GDPR.

Denuncia dei data breach entro 72 ore

Venendo alla gestione dei ‘data breach’, con l’art. 33 il

GDPR estende in via generale l’obbligo di comunicare

all’Autorità Competente, e in determinati casi all’interes-

sato, le eventuali violazioni di dati personali ossia tutte

quelle violazioni di sicurezza che comportano acciden-

talmente o in modo illecito la distruzione, la perdita, la

modifica, la divulgazione non autorizzata o l’accesso ai

dati personali trasmessi, conservati o comunque trattati

(art. 4 c.2 GDPR).

La direttiva 95/46/CE non conteneva specifiche indica-

zioni per la gestione di tali eventualità e pertanto ogni

Stato Membro si era organizzato a livello interno in

modo del tutto autonomo. L’ordinamento italiano per

esempio conosce attualmente alcune ipotesi specifiche di

obbligo di notificazione delle violazioni personali, come

nel settore delle comunicazioni elettroniche, della bio-

metria, dei trattamenti sanitari e dei trattamenti di dati

effettuati da enti pubblici.

69

dicembre 2017

© iStock - SBphotos

1 34 35 36 37 38 39 40 41 42 43 44 45 53  FlippingBook