Per DATA PROTECTION Impact Assessment si intende la valutazione d’impatto Privacy.
L'analisi del rischio è il processo che ha l'obiettivo di identificare i rischi per la sicurezza, determinando la loro ampiezza e identificando le aree che necessitano di protezione.
La valutazione di impatto privacy, disciplinato dal nuovo Regolamento UE, unitamente ad altri adempimenti formali come la tenuta dei registri del trattamento, diversamente dal Codice Privacy, sostituisce l'obbligo generale di notificare le autorità di controllo il trattamento dei dati personali e si inserisce nel principio della responsabilizzazione del trattamento.
La gestione del rischio si può definire come il processo di identificazione controllo ed eliminazione o riduzione degli eventi che possono avere un impatto negativo sulle risorse del sistema. Il metodo di gestione del rischio è legato al tipo e alle dimensioni del sistema di gestione della sicurezza delle informazioni.
La valutazione d’impatto sulla protezione dei dati va formulata prima dell’inizio dell’attività del trattamento dei dati ai fine di ponderare le probabilità e la gravità del rischio.
La valutazione di impatto è necessaria per i trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che riguardano un numero sensibile di interessati (vedi definizione trattamento su larga scala sopra indicato).
La valutazione di impatto è richiesta anche quando:
• previa attività di profilazione globale sui dati in possesso, si prendono decisioni riguardanti determinate persone fisiche;
• o in seguito a trattamento di categorie particolari di dati personali, dati biometrici, dati relativi a condanne penali e reati o a connesse misure di sicurezza.
Il regolamento assegna l'Autorità Garante il compito di redigere il rendere pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione di impatto sulla protezione dei dati e anche l'elenco delle tipologie di trattamenti per le quali la stessa non è richiesta.
La valutazione di impatto è esclusa per i trattamenti di un singolo medico, operatore sanitario o avvocato su dati personali di pazienti o clienti. In tali casi il trattamento non si considera su larga scala.
Il regolamento prevede la possibilità di istituire una valutazione di impatto per esempio quando diversi enti pubblici intendono costituire un'applicazione o una piattaforma in cui ciascuno è contitolare comuni in un settore seriamente industriale o per una attività trasversale ampiamente utilizzata.
Il Titolare del Trattamento, per la valutazione di impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, eventualmente designato.
La valutazione deve contenere necessariamente:
• una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l'interesse legittimo perseguito dal Titolare del Trattamento;
• una valutazione delle necessità e proporzionalità dei trattamenti relazioni alle finalità;
• una valutazione del rischi per i diritti e le libertà degli interessati;
• le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza ai meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Nel valutare l'impatto del trattamento bisogna considerare il rispetto dei codici di condotta.
Il regolamento prevede che il titolare effetto il costante monitoraggio dei trattamenti relazione eventuali variazioni del rischio per la protezione dei dati.
Se dalla valutazione di impatto emerge che il rischio per la protezione dei dati non può essere mitigato dall’impiego delle tecnologie disponibili o dagli elevati costi di attuazione, è opportuno consultare il Garante della Privacy prima di avviare l’attività di Trattamento.
Ad integrazione del Regolamento UE ogni ogni stato membro può prescrivere ai titolari del trattamento la consultazione dell'autorità di controllo, per l’ottenimento dell'autorizzazione preliminare, per funzioni sociali di interesse pubblico, tra cui il trattamento che riguarda la protezione sociale e la sanità pubblica.
L'autorità di controllo deve pronunciarsi entro un tempo predeterminato, fatto salvo la possibilità di intervenire a posteriori con misure interdittive e di blocco dei trattamenti.
In particolare l'autorità di controllo deve fornire, entro un termine di 8 settimane dal ricevimento della richiesta di consultazione, un parere scritto fornendo eventuali prescrizioni.
Il termine per il riscontro può essere prorogato di 6 settimane, in considerazione della complessità del trattamento previsto. L'autorità di controllo informa sul prolungamento del termine entro un mese dal ricevimento della richiesta di consultazione. La decorrenza dei termini può essere sospesa fino all'ottenimento da parte dell'autorità di controllo delle informazioni richieste ai fini della consultazione.
La richiesta di consultazione contiene:
• Le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell'ambito di un gruppo imprenditoriale;
• La finalità e mezzi del trattamento previsto;
• Le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del regolamento;
• I dati di contatto del titolare della protezione dei dati;
• La valutazione di impatto sulla protezione dei dati;
• Ogni altra informazione richiesta dall'autorità di controllo.
Ricordiamo che le sanzioni consistono per le virgole a violazioni degli obblighi del titolare del trattamento del responsabile del trattamento previsto dagli articoli 35 e 36 sanzioni pecuniarie fino a euro 10 milioni e per le imprese fino al 2% del fatturato mondiale totale hanno dell'esercizio precedente se superiore.
