Il 5 aprile l’ “Article 29 Data Protection Working Party” ha pubblicato le “Linee Guida sulla Data Protection Impact Assessemnt (DPIA) al fine di dare una valida interpretazione all’art. 34 del Regolamento UE 2016/679 .
Il documento è costituito da 19 pagine (più due allegati) ben fitte, vista la complessità della materia.
Dalle linee guida si evince che il DPIA sia un’attività abbastanza complessa caratterizzata da:
- Gestione del rischio (può essere valido considerare l’utilizzo della ISO 31000) che va svolta su due livelli:
- sicurezza delle informazioni,
- valutazione sul rischio per i diritti e le libertà delle persone (un aspetto particolare della DPIA);
- Ripetizione della DPIA ogniqualvolta vi siano rischi considerati: la natura, l’oggetto, il contesto e le finalità del trattamento (da ripetersi almeno ogni 3 anni);
- La predisposizione del Registro dei trattamenti (così come previsto dall’art. 30 del Regolamento EU 2016/679).
Si evince inoltre che per tutti i trattamenti esistenti, si dovrà completare il DPIA prima dell’entrata in vigore del Regolamento, alla peggio dal 25 maggio 2018 (non essendo una cosa facile, sarebbe il caso di iniziare a darsi da fare): la videosorveglianza è un trattamento per il quale va fatta sempre la DPIA.
Il documento è scaricabile al seguente link.