• +02 8739 6605
  • info@eps-italia.com

Tag Archives: dpo

Cosa c’è nelle linee guida sulla Data Protection Impact Analysis

Se selezionate i vostri clienti in funzione di un database che mette in relazione le loro informazioni anagrafiche (ad esempio il codice fiscale) con la loro situazione creditizia allora per il nuovo regolamento della privacy occorre classificare i clienti stessi a elevato rischio.

 

Questo è solo uno dei casi che i Garanti europei stabiliscono nel loro documento dello scorso 4 aprile che definisce le linee guida relative al Data Protection Impact Assessment (DPIA), ossia alla valutazione di impatto sulla protezione dei dati.

Il documento precisa che cosa debba intendersi per «elevato rischio per i diritti e le libertà delle persone fisiche». Il precedente Regolamento forniva sul punto criteri astratti, e stabiliva che solo quando un’attività di trattamento comporta rischio elevato diventa obbligatorio procedere al DPIA, che ha infatti un significato preventivo. Le linee guida pongono rimedio a tanta astrattezza e forniscono informazioni molto utili per mettersi a norma.

 

Le linee guida individuano due tipologie di attività contrassegnate da diversi fattori di rischio, relativi, per esempio, alla finalità o all’oggetto del trattamento oppure agli interessati o alle modalità.

È connotato da una finalità a elevato rischio il ricorso a schemi predittivi di comportamenti o di condizioni (per esempio lo stato di salute).

Esempi di rischio elevato correlato all’oggetto del trattamento sono la raccolta di dati sensibili oppure di dati “su larga scala” (si vedano a questo proposito le linee guida DPO) oppure la verifica di una base di dati con basi di dati diverse.

 

È invece soggettivamente a elevato rischio l’attività che riguardi persone vulnerabili per età, quali i minori, o per contesto, come i lavoratori di un’azienda o i pazienti di un ospedale.

Il rischio riguarda le modalità quando al trattamento, per le caratteristiche con cui è svolto, non è possibile ragionevolmente sottrarsi, come nel caso di videosorveglianza sistematica di luoghi pubblici. Presenta ugualmente elementi di rischio elevato l’utilizzo di nuove tecnologie, specie quando non possano ancora integralmente apprezzarsene le ricadute concrete (nelle linee guida viene fatto l’esempio di alcune applicazioni all’interno dell’Internet delle Cose), oppure ancora il trattamento suscettibile di determinare la circolazione di informazioni anche verso Paesi terzi non sicuri.

Di grande interesse è il criterio che i Garanti europei forniscono: un trattamento ha rischio elevato quando concorrono almeno due fattori di rischio. Per esempio, la raccolta di informazioni estratte da social network al fine di creare profili per liste di contatti somma in sé il rischio della profilazione predittiva e quello del trattamento su larga scala, dunque determina l’obbligo di procedere al DPIA.

Il regolamento prevede una analisi preliminare in cui un ruolo centrale è svolto dal Data Protection Officer (DPO), la cui posizione in merito all’obbligo di procedere al DPIA va documentata per successiva verifica.

Nel dubbio, comunque, la valutazione di impatto va svolta, anche per non incorrere nelle elevate sanzioni previste dal Regolamento. In attesa che i criteri applicativi siano precisati, giova notare che il massimo previsto per la violazione dell’obbligo di DPIA è fissato in € 10.000.000 o, per le imprese, nella maggior somma tra tale importo e il 2% del fatturato mondiale annuo dell’esercizio precedente.

Per conoscere la soluzione EPS per la DPIA scaricate la brochure

SCARICA LA BROCHURE
Marketing
1

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi