Garante privacy – Linee guida sulla valutazione di impatto privacy

La Newsletter n. 434 del 30 ottobre 2017 del Garante per la protezione dei dati personali comunica che sono state adottate, dalle Autorità  di protezione dati europee riunite nel Gruppo di lavoro, le Linee guida che aiuteranno amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).

La DPIA è un processo (previsto dall’art. 35 del Regolamento europeo 679/2016 – GDPR) che il titolare del trattamento deve compiere qualora i trattamenti, allorché prevedano in particolare l’uso di nuove tecnologie, possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Non è obbligatorio condurre una DPIA in ogni singolo trattamento.

Pertanto, per assicurare un’interpretazione uniforme dei casi in cui la DPIA è obbligatoria, i Garanti Ue hanno fornito anche alcuni criteri  in vista dell’elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono tenute ad adottare (ad es., trattamenti valutativi, compresi lo scoring e la profilazione; decisioni automatizzate dalle quali possono derivare discriminazioni per gli interessati; monitoraggio sistematico; trattamenti su larga scala, in particolare di dati sensibili).

L’inosservanza degli obblighi concernenti la DPIA può comportare l’imposizione di sanzioni pecuniarie da parte delle Autorità garanti. Il mancato svolgimento dell’analisi (quando il trattamento è soggetto a tale valutazione),  lo svolgimento non corretto o la mancata consultazione dell’Autorità di controllo competente ove ciò sia necessario, possono comportare l’applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro  e, se si tratta di un’impresa, fino al 2% del fatturato globale annuo.