Novità Privacy: la DPIA come si prepara?

Salve, la mia domanda è questa: ho letto che dal 25 maggio 2018 entrerà in vigore l'obbligo della DPIA per il trattamento dati personali. In che modo va redatto il documento? Nel caso di siti web, è necessario includerlo nella sezione privacy policy?
Diritto delle società. Che cos'è e come funziona? (06/04/2018)
lawyer
Autore:
Avvocato Marta Calderoni
Locazioni commerciali, Eredità e Successioni, Recupero Crediti, Risarcimento danni e responsabilità civile, Immobili, Famiglia
Segui l’avvocato
Risposta:

Per rispondere al Suo quesito riteniamo opportuno segnalare che il nuovo regolamento europeo sulla protezione dei dati personali (Regolamento UE 2016/679 – cd. "GDPR"), che sarà direttamente applicabile in tutti gli Stati Membri dell'Unione Europea a partire dal 25 maggio 2018, ha introdotto, per il tramite delle disposizioni di cui all'articolo 35, l'istituto della "valutazione d'impatto sulla protezione dei dati" o "data protection impact assesment" (cd. "DPIA" da Lei citato).

Tale istituto altro non è che un processo volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo.

Il DPIA è uno strumento essenziale e fondamentale per tutti i titolari ed i responsabili del trattamento, al fine di dar corso al nuovo approccio alla protezione dei dati personali voluto dal legislatore comunitario e fortemente basato sul principio della responsabilizzazione (cd. accountability principle).

L'articolo 35, comma 1, del GDPR prevede che il processo di DPIA sia obbligatorio soltanto quando un trattamento di dati personali "presenti un rischio elevato per i diritti e le libertà delle persone fisiche".

Il soggetto obbligato ad effettuare un DPIA è il titolare del trattamento, con il supporto del DPO, se nominato, e del responsabile del trattamento eventualmente coinvolto. Al titolare del trattamento spetta, quindi, di assicurare che il DPIA venga eseguita assumendosene l'intera responsabilità. Il titolare del trattamento è tenuto a consultarsi con il responsabile della protezione die dati (il DPO), qualora designato, e dovrà attenersi al parere ricevuto. Il DPO dovrà monitorare lo svolgimento del DPIA e fornire il suo parere per iscritto che sarà determinante ai fini dell'esito positivo o meno del processo di DPIA.

Le caratteristiche minime per svolgere un processo di DPIA sono distinte nelle seguenti fasi:

1) descrizione dei trattamenti previsti e delle finalità del trattamento: 

2) valutazione della necessità e proporzionalità dei trattamenti.

3) misure previste per dimostrare osservanza; 

4) valutazione dei rischi per i diritti e le libertà degli interessati: 

 5) misure previste per affrontare i rischi e dimostrare la conformità al regolamento:

6) documentazione delle decisioni assunte 

7) monitoraggio e revisione.

Con espresso riferimento al Suo quesito, precisiamo che la pubblicazione della DPIA nelle condizioni di privacy policy di un determinato sito web, non costituisce un obbligo formale ai sensi del regolamento, ed è quindi rimessa alla discrezionalità del titolare. Tuttavia, sarebbe opportuno che i titolari valutassero di rendere pubbliche almeno parti della DPIA, quali una sintesi o le conclusioni: così facendo si promuoverebbe la fiducia nelle attività di trattamento svolte da quei titolari dando prova di un approccio responsabile e trasparente. 

 

CONTATTA L’AVVOCATO
Prenota subito online
Dove ci trovi
se vuoi incontrarci di persona
Se vuoi incontrarci di persona e conoscerci ci trovi in Via Crocefisso 6 a Milano, presso gli uffici di Avvocato Accanto, tutti i giorni da lunedì a venerdì e su appuntamento anche il sabato. Ti aspettiamo.
mappa avvocato accanto
Non hai trovato ciò che cercavi?
Fai una domanda