Lo studio Camata è in grado di effettuare per conto dei titolari una valutazione di impatto sulla protezione dei dati o, in alternativa, di offrire il massimo supporto ai titolari nell’effettuazione di tale valutazione.
L’articolo 35 del Regolamento (UE) 679/2016 introduce la nozione di valutazione di impatto sulla protezione dei dati (DPIA, utilizzando l’acronimo inglese per Data Protection Impact Assessment), e lo stesso dicasi per la direttiva 2016/680.
Una DPIA consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali (attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli). La DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del GDPR, ma anche a dimostrare l’adozione di misure idonee a garantire il rispetto di tali prescrizioni (si veda anche l’art. 24). In altri termini, la DPIA è una procedura che permette di realizzare e dimostrare la conformità con le norme.
In base al Regolamento, l’inosservanza degli obblighi concernenti la DPIA può comportare l’imposizione di sanzioni pecuniarie da parte della competente autorità di controllo. Il mancato svolgimento della DPIA quando il trattamento è soggetto a tale valutazione (art. 35, paragrafi 1 e 3-4), lo svolgimento non corretto di una DPIA (art. 35, paragrafi 2 e 7-9) o la mancata consultazione dell’autorità di controllo competente ove ciò sia necessario (art. 36, paragrafo 3, lettera e), possono comportare l’irrogazione di una sanzione amministrativa pecuniaria fino a un massimo di 10 milioni di Euro, ovvero – se si tratta di un’impresa – fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore.
Il Data Protection Officer, o Responsabile della Protezione dei dati (RPD) svolge un ruolo fondamentale nell’iter della valutazione di impatto sulla protezione dei dati (DPIA). L’articolo 35, paragrafo 2, del GDPR prevede in modo specifico che il titolare “si consulta” con il DPO, quando svolge una DPIA. Inoltre l’articolo 39, paragrafo 1, lettera c) affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.
Il Gruppo di lavoro WP29 (Linee guida sui responsabili della protezione dei dati, Adottate il 13 dicembre 2016, versione emendata e adottata in data 5 aprile 2017 – WP243.rev 01) ha raccomandato che il titolare del trattamento si consulti con il DPO, fra l’altro, sui seguenti temi:
Il parere del DPO è, dunque, un passaggio fondamentale.
Per tale ragione, tale atto deve essere esaustivo e dare conto dei profili del trattamento, delle ragioni che portano a un parere favorevole o ad uno sfavorevole.
Lo studio Camata è in grado di effettuare per conto dei titolari una valutazione di impatto sulla protezione dei dati o, in alternativa, di offrire il massimo supporto ai titolari nell’effettuazione di tale valutazione.
La valutazione di impatto sulla protezione dei dati verrà effettuata secondo metodologia scientifica ed in ossequio alle indicazioni dei Garanti Europei (vedi https://www.cnil.fr Commission Nationale de l’Informatique et des Libertés)