NEWS

Valutazione d'impatto, fondamentale il parere del Data Protection Officer

Il Data Protection Officer, o Responsabile della Protezione dei dati (RPD) svolge un ruolo fondamentale nell’iter della valutazione di impatto sulla protezione dei dati (DPIA). L’articolo 35, paragrafo 2, RGPD prevede in modo specifico che il titolare “si consulta” con il RPD, quando svolge una DPIA.  Inoltre l’articolo 39, paragrafo 1, lettera c) affida al RPD il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”. 

Il Gruppo di lavoro WP29 (Linee guida sui responsabili della protezione dei dati, Adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017 - WP243.rev 01) ha raccomandato che il titolare del trattamento si consulti con il RPD, fra l’altro, sui seguenti temi:

• se condurre o meno una DPIA;
• quale metodologia adottare nel condurre una DPIA;
• se condurre la DPIA con le risorse interne ovvero esternalizzandola;
• quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
• se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al RGPD.

Il parere del RPD è, dunque, un passaggio fondamentale.

Per tale ragione, tale atto deve essere esaustivo e dare conto dei profili del trattamento, delle ragioni che portano a un parere favorevole o ad uno sfavorevole.

Nel modello proposto si individuano anche i vari passaggi procedurali (confronto con interessati e loro associazioni, verifica di eventuali codici di condotta), si sottolineano i parametri e si stimano le variabili, che devono condurre alla espressione del parere.

A tale proposito si rammenta che il titolare del trattamento può non concordare con le indicazioni fornite dal RPD, ma, in tale caso, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni (Linee Guida, cit.).

Una volta terminato l’iter il titolare del trattamento deve decidere se eventualmente pubblicare almeno alcune parti della DPIA, ad esempio di una sintesi o della conclusione: si ricorda, in proposito, che la versione della valutazione d'impatto sulla protezione dei dati pubblicata non deve necessariamente contenere l'intera valutazione, soprattutto qualora essa possa presentare informazioni specifiche relative ai rischi per la sicurezza per il titolare del trattamento o divulgare segreti commerciali o informazioni commerciali sensibili ( WP29, Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017 , come modificate e adottate da ultimo il 4 ottobre 2017 – WP 248 rev. 01).

Note Autore

Antonio Ciccia Messina Antonio Ciccia Messina

Professore a contratto di "Tutela della privacy e trattamento dei dati Digitali” presso l'Università della Valle d’Aosta. Avvocato, autore di Italia Oggi e collaboratore giornali e riviste giuridiche e appassionato di calcio e della bellezza delle parole.

Prev Associazioni ed enti senza scopo di lucro alla luce del Gdpr. La circolare di Federprivacy
Next 8° Privacy Day: i video e le slides degli interventi del forum annuale di Federprivacy

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy