Regolamento UE. Le linee guida dei Garanti europei

Il 4 ottobre 2017 il Gruppo di lavoro articolo 29 (WP29) ha approvato in via definitiva le Linee Guida sulla valutazione di impatto privacy (cd. DPIA) prevista dal nuovo Regolamento UE per i trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche

Adottate dalle Autorità  di protezione dati europee riunite nel Gruppo di lavoro ex art.291 le Linee guida nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment), introdotta dal Regolamento europeo 2016/679 e consistente in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità  e  facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche.

La DPIA è uno strumento che aiuta il titolare (l'impresa o la PA) non soltanto a rispettare le prescrizioni del Regolamento europeo, ma anche a dimostrare l'adozione di misure idonee a garantirne il rispetto. In altri termini, la DPIA è una procedura che permette al titolare di realizzare e dimostrare la conformità del trattamento alle norme. 

Non è obbligatorio condurre una DPIA per ogni singolo trattamento. Essa è però necessaria se il trattamento "può presentare un rischio elevato per i diritti e le libertà delle persone fisiche".

Per assicurare un'interpretazione uniforme dei casi in cui la DPIA è obbligatoria, i Garanti UE hanno fornito anche alcuni criteri  in vista dell'elaborazione degli elenchi dei trattamenti più rischiosi che le Autorità di controllo sono tenute ad adottare.

L'inosservanza degli obblighi concernenti la DPIA può comportare l'imposizione di sanzioni pecuniarie da parte delle Autorità garanti. Il mancato svolgimento dell'analisi (quando il trattamento è soggetto a tale valutazione),  lo svolgimento non corretto o la mancata consultazione dell'Autorità di controllo competente ove ciò sia necessario, possono comportare l'applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro  e, se si tratta di un'impresa, fino al 2% del fatturato globale annuo.

Note

1. Il Gruppo di Lavoro costituito in base all'articolo 29 della Direttiva europea 95/46 sulla tutela dei dati dei dati personali (Article 29 data protection working party) è un organismo consultivo indipendente composto da un rappresentante dei Garanti per la protezione dei dati di ciascuno Stato membro, dal Garante europeo e da un membro della Commissione UE. Formula pareri e raccomandazioni su questioni riguardanti la protezione dei dati ed esamina le questioni attinenti all'applicazione delle norme nazionali di attuazione della Direttiva.

 

Non sei associato e ti servono informazioni?

Contattaci

Azioni sul documento