Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Quando è necessario effettuare una DPIA?
Cerca articolo
L’articolo 35, paragrafo 1, afferma che è necessario effettuare una DPIA laddove si tratti di un tipo di trattamentopotrebbe comportare un rischio elevatoai diritti e alle libertà degli individui:
"Se un tipo di trattamento, utilizzando in particolare le nuove tecnologie, e tenuto conto della natura, dell'ambito, del contesto e delle finalità del trattamento, rischia di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento, previa al trattamento, effettuare una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Un'unica valutazione può riguardare un insieme di trattamenti simili che presentano rischi elevati simili."
Il rischio in questo contesto riguarda il potenziale di qualsiasi danno fisico, materiale o immateriale significativo agli individui. Vedi Cos'è una DPIA? per ulteriori informazioni sulla natura del rischio.
Per valutare se qualcosa è ad “alto rischio”, il GDPR del Regno Unito chiarisce che è necessario considerare sia la probabilità che la gravità di qualsiasi potenziale danno alle persone. Il "rischio" implica una possibilità più che remota di qualche danno. Il "rischio elevato" implica una soglia più elevata, sia perché il danno è più probabile, sia perché il danno potenziale è più grave, o una combinazione dei due. Valutare la probabilità del rischio in questo senso fa parte del lavoro di una DPIA.
Tuttavia, la questione per questi scopi di screening iniziale è se il trattamento sia o menodi un tipo che potrebbe risultareun rischio elevato.
Il GDPR del Regno Unito non definisce "probabile che comporti un rischio elevato". Tuttavia, il punto importante qui non è se il trattamento sia effettivamente ad alto rischio o suscettibile di provocare danni: è compito della stessa DPIA valutare in dettaglio. La domanda, invece, è un test di screening di livello più elevato: ci sono caratteristiche che indicano un potenziale rischio elevato? Stai esaminando eventuali segnali d'allarme che indicano che è necessario eseguire una DPIA per esaminare il rischio (compresa la probabilità e la gravità del potenziale danno) in modo più dettagliato.
L’articolo 35, paragrafo 3 elenca tre esempi di tipi di trattamento che richiedono automaticamente una DPIA e l’ICO ha pubblicato un elenco ai sensi dell’articolo 35, paragrafo 4, che ne elenca altri dieci. Esistono anche linee guida europee con alcuni criteri per aiutarti a identificare altri trattamenti probabilmente ad alto rischio.
Ciò non significa che questi tipi di trattamento siano sempre ad alto rischio o che possano sempre causare danni, ma solo che esiste una ragionevole possibilità che possano essere ad alto rischio e quindi è necessaria una DPIA per valutare il livello di rischio in modo più dettagliato.
Se il trattamento previsto non è descritto nel GDPR del Regno Unito, nell'articolo 35, paragrafo 3, dell'elenco ICO o nelle linee guida europee, spetta a te, in ultima analisi, decidere se il trattamento è di un tipo che potrebbe comportare un rischio elevato, tenendo conto della natura , ambito, contesto e finalità del trattamento. In caso di dubbi, ti consigliamo sempre di eseguire una DPIA per garantire la conformità e incoraggiare le migliori pratiche.
L’articolo 35, paragrafo 3, stabilisce tre tipologie di trattamento che richiedono sempre una DPIA:
"a) qualsiasi valutazione sistematica ed approfondita degli aspetti personali relativi alle persone fisiche basata su un trattamento automatizzato, compresa la profilazione, e su cui si basano decisioni che producono effetti giuridici riguardanti la persona fisica o incidono in modo analogo significativamente sulla persona fisica."
"b) trattamento su larga scala di categorie particolari di dati di cui all'articolo 9, paragrafo 1, ovvero di dati personali relativi a condanne penali e a reati di cui all'articolo 10."
"(c) un monitoraggio sistematico su larga scala di un'area accessibile al pubblico."
Il gruppo di lavoro Articolo 29 delle autorità di protezione dei dati dell’UE (WP29) ha pubblicato linee guida con nove criteri che possono fungere da indicatori di un probabile trattamento ad alto rischio:
Per ulteriori indicazioni su questi fattori, leggere le linee guida WP29 (WP248). Forniscono informazioni sul ragionamento alla base degli indicatori di alto rischio ed esempi di trattamenti che potrebbero comportare un rischio elevato.
Indietro: Prossimo
Prossimo: Taglio tubi SPC 1200 RB di HGG/3