Per le imprese che si stanno preparando all’entrata in vigore delle nuove norme per la protezione dei dati personali, prevista a maggio del 2018, una delle novità più significative è la valutazione d’impatto sulla protezione dei dati, una misura preventiva inerente il risk assessment che ciascun titolare del trattamento è tenuto ad effettuare.
Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital 4 Executive il 12 settembre 2017.
È ormai più di un anno che si parla del nuovo GDPR, il Regolamento europeo in materia di protezione dei dati personali, il Reg. (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 andrà a sostituire la direttiva 95/46/CE.
Dottrina ed esperti in materia di privacy, ma anche istituzioni e organismi europei hanno tentato di fornire indicazioni operative agli Stati e agli operatori per facilitare il loro adeguamento alla nuova disciplina. Il Gruppo di lavoro Art. 29, ad esempio, ha adottato una serie di linee guida volte a chiarire alcuni adempimenti del Regolamento che, per via del carattere innovativo ovvero per via della loro onerosità e complessità, hanno attirato sin da subito l’attenzione – e i timori – delle imprese.
Tra questi una delle novità maggiormente discusse è la valutazione d’impatto sulla protezione dei dati. Dal momento che tale adempimento è stato oggetto di innumerevoli commenti, può brevemente ricordarsi che si tratta di una misura preventiva inerente il risk assessment che ciascun titolare del trattamento è tenuto ad effettuare sulla base della natura, dell’oggetto, del contesto e delle finalità del trattamento. Attraverso un’analisi dei flussi informativi la valutazione d’impatto è volta all’individuazione dei rischi derivanti dal trattamento e, quindi, dei mezzi e degli strumenti da adottare per contrastarli.
Con il presente contribuito si intende offrire una guida pratica agli operatori che intendano o debbano procedere alla valutazione d’impatto, alla luce dell’art. 35 del Regolamento e delle Guidelines on Data Protection Impact Assessment (DPIA) adottate il 4 aprile 2017 dal Gruppo Art. 29.
Aggiungi commento