Il nuovo regolamento generale Reg. UE 679/16 ha un approccio basato sulla valutazione del rischio (risk based), ossia di deve determinare la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.
Nella progettazione dei trattamenti dei dati, dunque secondo il nuovo regolamento è obbligatoria un’analisi del rischio del trattamento, e quindi della valutazione delle misure tecniche od organizzative che il titolare ritiene di dover adottare per ridurre l'eventuale rischio.
La valutazione del rischio, deve essere realizzata per ogni singolo trattamento e deve portare il titolare a decidere in autonomia se sussistono rischi elevati inerenti il trattamento, in assenza dei quali potrà procedere oltre.
Se invece il titolare ritenesse sussistenti detti rischi, dovrà individuare le misure specifiche richieste per attenuare o eliminare il rischio.
In ogni caso il titolare dovrà indicare nel registro dei trattamenti le sue valutazioni.
La valutazione di impatto del trattamento (D.P.I.A., cioè Data Protection Impact Assessment) ha il compito di assicurare trasparenza e protezione nelle operazioni di trattamento dei dati personali, imponendo al titolare l'onere di una valutazione preventiva delle conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati.
Quando la DPIA è necessaria?
L'articolo 35 del regolamento europeo regolamenta la valutazione di impatto, stabilendo la sua necessità quando il trattamento prevede l'uso di nuove tecnologie e può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
In particolare l'articolo 35 evidenzia la necessità della valutazione di impatto nei seguenti casi:
- il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici;
- il trattamento riguarda dati sensibili o giudiziari su larga scala;
- sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
La valutazione di impatto deve contenere almeno:
- la descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso l'interesse legittimo perseguito dal titolare;
- la valutazione dei rischi;
- le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento.
Ecco perché per evitare di incorrere nelle sanzioni del G.D.P.R. conviene affidarsi a consulenti esperti per valutare se fosse necessaria la redazione della D.P.I.A..
Pavia, lì 12 giugno 2018. Avv. Valter Vernetti