8821
Cosa occorre sapere sulla protezione dei dati personali
L'approfondimento settimanale sul Reg. UE 2016/679
La Sede nazionale Aiop in collaborazione con lo studio legale Stefanelli&Stefanelli di Bologna, dà il via ad un progetto di approfondimento settimanale sul nuovo Regolamento UE 2016/679 in materia di protezione dei dati personali.
Il Regolamento troverà piena applicazione nel maggio 2018, sostituendo la Direttiva 95/46/UE (prima di questa data continueranno ad applicarsi la direttiva e le leggi nazionali che implementano la stessa negli Stati membri).
Diversamente dalla precedente disciplina europea, il Regolamento non necessita di atti nazionali attuativi: ciò vuol dire che il quadro legislativo che dovrà essere rispettato è già chiaro e completo sin da oggi.
Per illustrare i nuovi obblighi che il Regolamento impone ai destinatari, l'Aiop ha organizzato una serie di seminari gratuiti destinati alle Strutture associate e parallelamente lancia una campagna informativa su Informaiop che, attraverso un approfondimento settimanale, si pone come obiettivo quello di analizzare le principali modifiche introdotte dalla nuova disciplina.
Ogni settimana saranno illustrati i riferimenti normativi, un’analisi dettagliata della tematica con l’indicazione schematica dei cambiamenti rispetto alla normativa attuale (Direttiva 95/46/CE e Codice Privacy) e la sintesi delle principali attività che le organizzazioni dovrebbero intraprendere per avviare un aggiornamento del sistema di gestione di dati e informazioni.
L’obiettivo è quello di consentire alle funzioni preposte all'interno delle organizzazioni di identificare rapidamente i problemi sul trattamento del dato e fornire utili spunti di risoluzione degli stessi.
Tra gli argomenti più complessi del nuovo GDPR, c'è sicuramente la Valutazione d’Impatto sulla protezione dei dati, prevista dall’art. 35 del Regolamento.
Indubbiamente le Linee Guida del Gruppo di Lavoro articolo 29 hanno chiarito punti controversi e dato utili strumenti di lavoro. Questo adempimento, tuttavia, nella sua complessità, è la dimostrazione che l’attuazione del GDPR non va vista come un’attività “one shot”, da completare alla svelta prima del prossimo 25 maggio, ma come un sistema e un percorso che deve diventare parte integrante dell’attività ordinaria.
Il Regolamento non richiede che sia svolta una DPIA per ogni operazione di trattamento che possa comportare rischi per i diritti e le libertà delle persone fisiche, ma l'esecuzione di una DPIA è obbligatoria soltanto se è probabile che il trattamento "provochi un elevato rischio per i diritti e le libertà delle persone fisiche" (articolo 35, paragrafo 1, illustrato dall'articolo 35, paragrafo 3 e completato dall'articolo 35, paragrafo 4).
Ciò è particolarmente rilevante quando viene introdotta una nuova tecnologia di elaborazione dati.
Nei casi in cui non sia chiaro se sia necessaria una DPIA, il WP29 raccomanda di eseguirla comunque, essendo la valutazione d’impatto uno strumento utile per aiutare i titolari a rispettare la legge sulla protezione dei dati.
Sebbene una DPIA possa essere richiesta in altre circostanze, l'articolo 35, paragrafo 3, fornisce una lista, non esaustiva, di esempi che chiariscono, o meglio dovrebbero chiarire, quando un trattamento di dati "rischia di comportare rischi elevati":
"a) una valutazione sistematica e ampia degli aspetti personali riguardanti le persone fisiche basata su un trattamento automatizzato, compresa la profilazione, e su cui si fondano le decisioni che producono effetti giuridici sulla persona fisica o che in modo analogo influenzano in modo significativo la persona fisica;
b) elaborazione su larga scala di particolari categorie di dati di cui all'articolo 9, paragrafo 1, o di dati personali relativi a reati penali e reati di cui all'articolo 10; oppure
c) un monitoraggio sistematico di un'area accessibile al pubblico su vasta scala".
Le operazioni di trattamento "ad alto rischio" che non sono elencate in questa lista ma presentano tuttavia rischi altrettanto elevati dovrebbero anch’esse essere soggette alle DPIA. Per questo motivo, le Linee Guida indicano nove criteri per valutare se e quando effettuare una DPIA. Normalmente il titolare dovrà effettuare la DPIA se un trattamento soddisfa almeno due dei criteri sotto riportati. Tuttavia, in alcuni casi, il titolare di dati può ritenere che un trattamento che soddisfi anche uno solo di questi criteri richiede la DPIA.
Per un approfondimento su questi nove criteri e sui casi in cui non è invece richiesta una DPIA, è possibile consultare il seguente link.