Valutazione impatto privacy: ecco cosa sapere
Quando si parla di Data Protection, sono diversi gli aspetti a cui fare attenzione. Tra questi, rientra tutto ciò che ruota attorno alla valutazione impatto privacy. Di cosa si tratta? Chi deve occuparsene? Se ti stai ponendo queste domande, l’articolo che abbiamo preparato nelle prossime righe è apposta per te.
Di cosa si tratta?
Quando si parla di valutazione di impatto del trattamento, si inquadra un processo grazie al quale è possibile garantire agli interessati la massima trasparenza nella gestione dei dati personali. Come si può evincere dall’articolo 35 del GDPR, l’onere della valutazione di impatto spetta al titolare del trattamento dei dati.
Il compito principale del soggetto appena citato riguarda l’analisi dei rischi che, per forza di cose, derivano dai trattamenti che vengono concretizzati. Entrando nel vivo di questo aspetto, è necessario rammentare la necessità, per il titolare, di arrivare a mettere a punto un processo di valutazione preventiva.
Ciò vuol dire che, prima di iniziare concretamente a trattare i dati personali, è bene avere le idee chiare sui potenziali rischi e sulle compromissioni che possono coinvolgere la libertà degli interessati e altri loro diritti fondamentali. In questo caso, entra in gioco anche il ruolo del responsabile del trattamento. Questa figura, infatti,ha il compito di fornire assistenza al titolare, coadiuvandolo nella ricerca di informazioni sempre con lo scopo di concretizzare una prevenzione massima dei rischi.
I compiti del titolare del trattamento
In sede di valutazione di impatto privacy, il titolare è tenuto a prendere le decisioni in autonomia. Ecco come può procedere:
- Può proseguire con il trattamento dei dati nelle situazioni in cui si rende conto che non sussistono rischi.
- In caso di inviduazione di rischi, è tenuto a trovare delle misure atte a mitigare al minimo il loro impatto sulla libertà e altri diritti degli interessati. L’optimum prevede il fatto di arrivare alla totale eliminazione dei rischi.
Cosa fare nelle situazioni in cui non si riesce a venire in alcun modo a capo? In tali frangenti, il titolare del trattamento dei dati ha la possibilità di chiedere l’intervento dell’autorità di controllo. Quest’ultima, può agire in diversi modi. Il grado di intervento più lieve prevede l’implementazione delle misure messe a punto dal titolare. Nei casi più gravi, si può arrivare a un ammonimento della sopra citata figura. In alcuni frangenti, l’Autorità di Controllo può anche arrivare a vietare il trattamento dei dati.
Tornando un attimo ai compiti veri e propri del titolare, è doveroso rammentare che la figura in questione deve rendicontare le sue azioni includendole nel registro dei trattamenti.
La valutazione di impatto privacy è sempre necessaria?
Tra le domande legate alla valutazione di impatto, rientrano gli interrogativi di chi si chiede se la sua concretizzazione è sempre necessaria. La risposta è negativa. A differenza dei casi in cui si parla di valutazioni di sicurezza, la valutazione di impatto è necessaria solo in situazioni specifiche.
Quali sono? Quelle in cui il trattamento dei dati personali prevede il ricorso a tecnologie particolari e innovative in grado di compromettere la libertà e altri diritti degli interessati. Un altro caso degno di nota è quello in cui a essere trattati sono dati sensibili o giudiziari. La valutazione di impatto privacy si rende necessaria anche nelle situazioni in cui alla base c’è la sorveglianza su larga scala di una zona accessibile al pubblico.
Gli step della valutazione
La valutazione di impatto privacy prevede diversi step. Si parte dalla raccolta di informazioni, si prosegue con la descrizione dei trattamenti e, nelle fasi successive, si identificano li si descrive in un rapporto. Il suddetto, per essere regolare deve essere visionato e firmato dal titolare del trattamento dei dati.