EntiOnLine
Categorie
indietro
04/10/2017 GARANTE: DPIA - Modalita' di svolgimento: chi effettua la valutazione

Chi e' obbligato a effettuare la valutazione d'impatto sulla protezione dei dati?

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

L'obbligato a effettuare la valutazione d'impatto sulla protezione dei dati e'

  • Il titolare del trattamento, con il responsabile della protezione dei dati e i responsabili del trattamento.

Al titolare del trattamento spetta assicurare che la valutazione d'impatto sulla protezione dei dati sia eseguita (articolo 35, paragrafo 2). La valutazione d'impatto sulla protezione dei dati puo' essere effettuata da qualcun altro, all'interno o all'esterno dell'organizzazione, tuttavia al titolare del trattamento spetta la responsabilita' ultima per tale compito.

Inoltre il titolare del trattamento deve consultarsi con il responsabile della protezione dei dati (RPD), qualora ne sia designato uno (articolo 35, paragrafo 2) e il parere ricevuto, cosi� come le decisioni prese dal titolare del trattamento, debbano essere documentate all'interno della valutazione d'impatto sulla protezione dei dati. Il responsabile della protezione dei dati deve altresi' sorvegliare lo svolgimento della valutazione d'impatto sulla protezione dei dati (articolo 39, paragrafo 1, lettera c)). Ulteriori orientamenti in merito sono forniti nelle "Linee guida sui responsabili della protezione dei dati (RPD)" del WP29 - 16/EN WP 243.

Qualora il trattamento venga eseguito in toto o in parte da un responsabile del trattamento dei dati, quest'ultimo deve assistere il titolare del trattamento nell'esecuzione della valutazione d'impatto sulla protezione dei dati e fornire tutte le informazioni necessarie (conformemente all'articolo 28, paragrafo 3, lettera f)).

Il titolare del trattamento deve "raccogliere le opinioni degli interessati o dei loro rappresentanti" (articolo 35, paragrafo 9), "se del caso". Il WP29 ritiene che:

  • tali opinioni possono essere raccolte attraverso una varieta' di mezzi, a seconda del contesto (ad esempio uno studio generico relativo alla finalita' e ai mezzi del trattamento, una domanda posta ai rappresentanti del personale oppure indagini abituali inviate ai futuri clienti del titolare del trattamento), assicurando che il titolare del trattamento disponga di una base giuridica valida per il trattamento di qualsiasi dato personale interessato nel raccogliere dette opinioni; sebbene sia opportuno osservare che il consenso al trattamento non e' ovviamente un modo per raccogliere le opinioni degli interessati;

  • qualora la decisione finale del titolare del trattamento si discosti dalle opinioni degli interessati, le sue motivazioni a sostegno del procedere o meno vanno documentate;

  • il titolare del trattamento deve altresi' documentare la sua giustificazione per la mancata raccolta delle opinioni degli interessati, qualora decida che cio' non sia appropriato, ad esempio qualora cio' comporterebbe la riservatezza dei piani economici dell'impresa o sarebbe sproporzionato o impraticabile.

Infine, e' buona prassi definire e documentare altri ruoli e responsabilita' specifici, a seconda delle politiche, dei processi e delle norme interni, ad esempio:

  • qualora specifiche unita' aziendali propongano di svolgere una valutazione d'impatto sulla protezione dei dati, tali unita' dovrebbero poi fornire contributi alla valutazione d'impatto sulla protezione dei dati ed essere coinvolte nel processo di convalida di detta valutazione;

  • se del caso, si raccomanda di consultare esperti indipendenti che esercitano professioni diverse (avvocati, esperti informatici, esperti di sicurezza, sociologi, esperti di etica, ecc.).

  • i ruoli e le responsabilita' dei responsabili del trattamento devono essere definiti contrattualmente; e la valutazione d'impatto sulla protezione dei dati deve essere svolta con l'assistenza di un responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione di detto responsabile del trattamento (articolo 28, paragrafo 3, lettera f));

  • il responsabile capo della sicurezza dei sistemi d'informazione (CISO), se nominato, cosi' come il responsabile della protezione dei dati, potrebbero suggerire al titolare del trattamento di realizzare una valutazione d'impatto sulla protezione dei dati in merito a una specifica operazione di trattamento e dovrebbero assistere le parti interessate in relazione alla metodologia, contribuire alla valutazione della qualita' della valutazione dei rischi e del grado di accettabilita' del rischio residuo, nonche' allo sviluppo di conoscenze specifiche in merito al contesto del titolare del trattamento;

  • il responsabile capo della sicurezza dei sistemi d'informazione (CISO), se nominato, e/o il dipartimento dedicato alle tecnologie dell'informazione, dovrebbero fornire assistenza al titolare del trattamento, nonche' potrebbero proporre lo svolgimento di una valutazione d'impatto sulla protezione dei dati su un'operazione specifica di trattamento, a seconda delle esigenze operative e legate alla sicurezza.

Fonte: Autorità Garante - Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilita' che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679

Banca dati