PRIVACY E TRASPARENZA
Valutazione d'impatto (privacy impact assessment)
Art. 35 reg. UE 2016/679
Prima di procedere al trattamento, le PA hanno l’obbligo di valutare l’impatto del trattamento sulla tutela dei dati personali.
DEFINIZIONE
Un processo volto a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli.
FINALITÀ
La valutazione d’impatto è strumento di responsabilizzazione (accountability) del Titolare del trattamento poiché garantisce il rispetto dei principi del GDPR e dimostra la conformità dei trattamenti al regolamento medesimo.
OBBLIGO DELLA VALUTAZIONE
L’art. 35 del GDPR fa riferimento al possibile rischio elevato per i diritti e le libertà delle persone fisiche. Pertanto, quando dalla valutazione sommaria dei rischi, emerge un elevato - potenziale - pregiudizio per i diritti e le libertà delle persone fisiche il Titolare deve curare la valutazione d'impatto.
CHI
L'obbligo della valutazione grava sul Titolare del trattamento, il quale procede alla valutazione con la collaborazione del Responsabile del trattamento. Il Titolare chiede il parere del DPO.
Il par. 9, art. 35, GDPR, prevede che il Titolare del trattamento senta gli interessati o i loro rappresentanti.
QUANDO
La valutazione deve essere condotta prima di procedere al trattamento (art. 35, par. 1 e 10, GDPR). Essa deve essere rinnovata periodicamente e aggiornata, in particolare se sono intervenute delle modifiche nel trattamento dei dati.