HOME
AREE LEGALI
SERVIZI
DOMANDE E RISPOSTE
SOCI coop
LOGIN
REGISTRATI
RECENSIONI
I NOSTRI PROFESSIONISTI
Novità Privacy: la DPIA come si prepara?
Diritto delle società | (06/04/2018)
Salve, la mia domanda è questa: ho letto che dal 25 maggio 2018 entrerà in vigore l'obbligo della DPIA per il trattamento dati personali. In che modo va redatto il documento? Nel caso di siti web, è necessario includerlo nella sezione privacy policy?
Segui l'avvocato e ricevi aggiornamenti quando pubblica nuovi contenuti legali
Grazie per aver iniziato a seguire questo avvocato
Sei già registrato! La tua e.mail risulta già esistente
Si prega di contattare l'amministratore
Risposta del 06/04/2018

Per rispondere al Suo quesito riteniamo opportuno segnalare che il nuovo regolamento europeo sulla protezione dei dati personali (Regolamento UE 2016/679 – cd. "GDPR"), che sarà direttamente applicabile in tutti gli Stati Membri dell'Unione Europea a partire dal 25 maggio 2018, ha introdotto, per il tramite delle disposizioni di cui all'articolo 35, l'istituto della "valutazione d'impatto sulla protezione dei dati" o "data protection impact assesment" (cd. "DPIA" da Lei citato).

Tale istituto altro non è che un processo volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo.

Il DPIA è uno strumento essenziale e fondamentale per tutti i titolari ed i responsabili del trattamento, al fine di dar corso al nuovo approccio alla protezione dei dati personali voluto dal legislatore comunitario e fortemente basato sul principio della responsabilizzazione (cd. accountability principle).

L'articolo 35, comma 1, del GDPR prevede che il processo di DPIA sia obbligatorio soltanto quando un trattamento di dati personali "presenti un rischio elevato per i diritti e le libertà delle persone fisiche".

Il soggetto obbligato ad effettuare un DPIA è il titolare del trattamento, con il supporto del DPO, se nominato, e del responsabile del trattamento eventualmente coinvolto. Al titolare del trattamento spetta, quindi, di assicurare che il DPIA venga eseguita assumendosene l'intera responsabilità. Il titolare del trattamento è tenuto a consultarsi con il responsabile della protezione die dati (il DPO), qualora designato, e dovrà attenersi al parere ricevuto. Il DPO dovrà monitorare lo svolgimento del DPIA e fornire il suo parere per iscritto che sarà determinante ai fini dell'esito positivo o meno del processo di DPIA.

Le caratteristiche minime per svolgere un processo di DPIA sono distinte nelle seguenti fasi:

1) descrizione dei trattamenti previsti e delle finalità del trattamento: 

2) valutazione della necessità e proporzionalità dei trattamenti.

3) misure previste per dimostrare osservanza; 

4) valutazione dei rischi per i diritti e le libertà degli interessati: 

 5) misure previste per affrontare i rischi e dimostrare la conformità al regolamento:

6) documentazione delle decisioni assunte 

7) monitoraggio e revisione.

Con espresso riferimento al Suo quesito, precisiamo che la pubblicazione della DPIA nelle condizioni di privacy policy di un determinato sito web, non costituisce un obbligo formale ai sensi del regolamento, ed è quindi rimessa alla discrezionalità del titolare. Tuttavia, sarebbe opportuno che i titolari valutassero di rendere pubbliche almeno parti della DPIA, quali una sintesi o le conclusioni: così facendo si promuoverebbe la fiducia nelle attività di trattamento svolte da quei titolari dando prova di un approccio responsabile e trasparente. 

 

DOVE CI TROVI

se vuoi incontrarci di persona


Se vuoi incontrarci di persona e conoscerci ci trovi in via Arona 15 a Milano, presso il punto di consulenza Avvocato Accanto, tutti i giorni da lunedì a venerdì e su appuntamento anche il sabato. Ti aspettiamo.


Avvocato Accanto, Via Arona 15 Milano 20149
tel. 02 3664 4280