PRIVACY E TRASPARENZA

Valutazione d'impatto (privacy impact assessment)

Art. 35 reg. UE 2016/679

Prima di procedere al trattamento, le PA hanno l’obbligo di valutare l’impatto del trattamento sulla tutela dei dati personali.

DEFINIZIONE

Un processo volto a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli.

FINALITÀ

La valutazione d’impatto è strumento di responsabilizzazione (accountability) del Titolare del trattamento poiché garantisce il rispetto dei principi del GDPR e dimostra la conformità dei trattamenti al regolamento medesimo.

OBBLIGO DELLA VALUTAZIONE

L’art. 35 del GDPR fa riferimento al possibile rischio elevato per i diritti e le libertà delle persone fisiche. Pertanto, quando dalla valutazione sommaria dei rischi, emerge un elevato - potenziale - pregiudizio per i diritti e le libertà delle persone fisiche il Titolare deve curare la valutazione d'impatto.

CHI 

L'obbligo della valutazione grava sul Titolare del trattamento, il quale procede alla valutazione con la collaborazione del Responsabile del trattamento. Il Titolare chiede il parere del DPO.

Il par. 9, art. 35, GDPR, prevede che il Titolare del trattamento senta gli interessati o i loro rappresentanti.

QUANDO

La valutazione deve essere condotta prima di procedere al trattamento (art. 35, par. 1 e 10, GDPR). Essa deve essere rinnovata periodicamente e aggiornata, in particolare se sono intervenute delle modifiche nel trattamento dei dati.