{"id":2913,"date":"2017-05-15T10:39:05","date_gmt":"2017-05-15T08:39:05","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2913"},"modified":"2017-05-15T10:39:05","modified_gmt":"2017-05-15T08:39:05","slug":"article-29-data-protection-working-party-guidelines-on-data-protection-impact-assessment-dpia","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/05\/15\/article-29-data-protection-working-party-guidelines-on-data-protection-impact-assessment-dpia\/","title":{"rendered":"Le Linee Guida del Gruppo di Lavoro ex art. 29 in tema di Data Protection Impact Assessment (DPIA)"},"content":{"rendered":"<p>Lo scorso 4 aprile il Gruppo di Lavoro ex art. 29 (WP 29) ha adottato delle linee guida in tema di <em>Data Protection Impact Assesment<\/em>, volte innanzitutto a definire dei criteri comuni a tutti i Titolari, che possano costituire un ausilio nell\u2019individuazione delle operazioni di trattamento che richiedono l\u2019effettuazione di una valutazione d\u2019impatto. Ci\u00f2 in quanto essa non risulta obbligatoria in tutte le ipotesi, bens\u00ec soltanto nel caso in cui un tipo di trattamento possa \u201c<em>presentare un rischio elevato per i diritti e le libert\u00e0 dell\u2019interessato<\/em>\u201d, oltre che nelle ipotesi specificamente previste dal co. III dell\u2019art. 35 del Regolamento. Di fondamentale importanza risulta dunque stabilire quando in concreto un trattamento possa considerarsi rischioso e richieda di valutare l\u2019impatto che esso avrebbe sulla protezione dei dati personali, non essendo tale indicazione contenuta all\u2019interno del Regolamento. Al riguardo, le linee guida invitano a prendere in considerazione la sussistenza di una serie di aspetti, tra cui ad esempio:<\/p>\n<ul>\n<li>un processo di valutazione dell\u2019interessato, compresa la profilazione, in particolare al fine di valutare aspetti riguardanti la situazione economica, la salute, le preferenze, gli interessi personali, ecc.;<\/li>\n<li>un monitoraggio sistematico degli interessati, che in alcuni casi potrebbero non essere consapevoli del tutto di chi sta trattando i loro dati e delle modalit\u00e0 con le quali il trattamento viene effettuato. Ci\u00f2 vale, ad esempio, nelle ipotesi di dati raccolti in spazi pubblici o aperti al pubblico;<\/li>\n<li>effettuazione, su larga scala, di operazioni di trattamento di categorie particolari di dati personali di cui all\u2019art. 9 o di dati relativi a condanne penali e reati di cui all\u2019art. 10 del GDPR (ipotesi che rientra, tra l\u2019altro, tra quelle specificamente previste dal co. III dell\u2019art. 35). Ci\u00f2 vale, ad esempio, rispetto ad un ospedale che conserva i dati dei pazienti, ma non potr\u00e0 valere rispetto alle operazioni di trattamento poste in essere dal singolo medico;<\/li>\n<li>dati che riguardano soggetti vulnerabili, quali potrebbero essere i minori o i lavoratori con riferimento al trattamento effettuato dal proprio datore di lavoro. In tal caso viene infatti a crearsi uno squilibrio di poteri tra il Titolare e l\u2019interessato, che impedisce a quest\u2019ultimo di prestare liberamente il consenso o di esercitare il diritto di opposizione;<\/li>\n<li>utilizzo di soluzioni tecnologiche o organizzative di carattere innovativo;<\/li>\n<li>trasferimenti di dati personali al di fuori dell\u2019Unione Europea, prendendo in considerazione, tra le altre cose, il Paese di destinazione, la possibilit\u00e0 di ulteriori trasferimenti o la probabilit\u00e0 di trasferimenti basati su <em>\u00abderoghe in specifiche situazioni\u00bb <\/em>(art. 49 del GDPR);<\/li>\n<\/ul>\n<p>Le linee guida pubblicate lo scorso 4 aprile si pongono altres\u00ec l\u2019obiettivo di individuare una serie di operazioni di trattamento rispetto alle quali l\u2019effettuazione della valutazione d\u2019impatto non \u00e8 necessaria, la definizione di criteri comuni aventi ad oggetto la metodologia da adottare, nonch\u00e9 l\u2019individuazione dei casi in cui \u00e8 necessario consultare l\u2019Autorit\u00e0 di Controllo, ex art. 36 co. I (obbligatoria nel caso in cui, all\u2019esito della valutazione, emerga la sussistenza di un rischio elevato \u201c<em>in assenza di misure adottate dal titolare del trattamento per attenuare il rischio\u201d<\/em>).<\/p>\n<p>Esse, inoltre, contengono un focus sulle operazioni di trattamento ancora in corso alla data di definitiva applicabilit\u00e0 del Regolamento (25 maggio 2018). Sebbene tali operazioni formalmente non richiederebbero di effettuare una valutazione d\u2019impatto, nelle citate linee guida il WP 29 invita a valutarne comunque l\u2019opportunit\u00e0. Ad ogni modo, si dovr\u00e0 verificare la sussistenza di eventuali variazioni del rischio rappresentato dalle attivit\u00e0 relative al trattamento, in quanto in tal caso sar\u00e0 necessario procedere con l\u2019effettuazione della valutazione d\u2019impatto, sebbene la stessa formalmente non risulti obbligatoria. Ci\u00f2 si verifica, ad esempio, qualora rispetto ad un trattamento gi\u00e0 in corso venga utilizzata una nuova tecnologia o i dati vengano trattati per finalit\u00e0 differenti.<\/p>\n<p>In generale, il WP 29 considera una buona prassi procedere con la DPIA almeno ogni tre anni, che rappresenta un periodo di tempo congruo decorso il quale valutare le circostanze del caso concreto ed eventuali cambiamenti verificatisi e, eventualmente, effettuare una nuova valutazione d\u2019impatto.<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>","protected":false},"excerpt":{"rendered":"<p>Lo scorso 4 aprile il Gruppo di Lavoro ex art. 29 (WP 29) ha adottato delle linee guida in tema di Data Protection Impact Assesment, volte innanzitutto a definire dei criteri comuni a tutti i Titolari, che possano costituire un ausilio nell\u2019individuazione delle operazioni di trattamento che richiedono l\u2019effettuazione di una valutazione d\u2019impatto. Ci\u00f2 in\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2017\/05\/15\/article-29-data-protection-working-party-guidelines-on-data-protection-impact-assessment-dpia\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":209,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[248,81],"class_list":["post-2913","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","tag-dpia","tag-wp29"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2913","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/209"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2913"}],"version-history":[{"count":2,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2913\/revisions"}],"predecessor-version":[{"id":2915,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2913\/revisions\/2915"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2913"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2913"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2913"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}