Di GDPR, ovvero del Regolamento 2016/6791 che sarà applicabile dal 25 maggio 2018, si parla sempre più spesso ed è difficile orientarsi tra le complicate norme che stanno per entrare in vigore. Per questa ragione Giulio Spreafico e Gianluca Lombardi ci hanno anticipato alcuni dei temi che tratteranno, il prossimo 4 dicembre alle 17, presso la sede dell'Ordine degli Ingegneri di Lecco.
Cos'è una DPIA?
L’articolo 35 del RGPD, come spiega lo stesso Spreafico, introduce la nozione di valutazione di impatto sulla protezione dei dati (DPIA, utilizzando l’acronimo inglese per Data Protection Impact Assessment), e lo stesso dicasi per la direttiva 2016/6803.
Una DPIA consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali (attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli).
La DPIA è quindi uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche a dimostrare l’adozione di misure idonee a garantire il rispetto ditali prescrizioni (si veda anche l’art. 24). In altri termini, la DPIA è una procedura che permette di realizzare e dimostrare la conformità con le norme.
In base al regolamento, l’inosservanza degli obblighi concernenti la DPIA può comportare l’imposizione di sanzioni pecuniarie da parte della competente autorità di controllo.
Il mancato svolgimento della DPIA quando il trattamento è soggetto a tale valutazione (art. 35, paragrafi 1 e 3-4), lo svolgimento non corretto di una DPIA (art. 35, paragrafi 2 e 7-9) o la mancata consultazione dell’autorità di controllo competente ove ciò sia necessario (art. 36, paragrafo 3, lettera e) ) possono comportare l’irrogazione di una sanzione amministrativa pecuniaria fino a un massimo di 10 milioni di Euro, ovvero, se si tratta di un’impresa, fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore.
DPIA: cosa prevede il regolamento
Il regolamento impone ai titolari di mettere in atto misure idonee a garantire ed essere in grado di dimostrare l’osservanza del regolamento stesso, tenendo conto, fra gli altri, dei “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” (art. 24, paragrafo 1). L’obbligo di condurre una DPIA, in determinate circostanze, deve essere collocato nel contesto del più generale obbligo imposto ai titolari di gestire correttamente i rischi connessi al trattamento di dati personali.
Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità. D’altro canto, la “gestione del rischio” è definibile come l’insieme coordinato delle attività finalizzate a guidare e monitorare un ente o organismo nei riguardi di tale rischio.
L’art. 35 del regolamento menziona la probabilità di un rischio elevato “per i diritti e le libertà delle persone fisiche”.
Come già chiarito dal Gruppo di lavoro “Articolo 29” nella “Dichiarazione” sul ruolo di un approccio basato sul rischio nel contesto giuridico della protezione dei dati, il riferimento ai “diritti e le libertà” degli interessati va inteso in primo luogo come relativo al diritto alla privacy, ma può riguardare anche altri diritti fondamentali quali la libertà di espressione e di pensiero, la libertà di movimento, il divieto di discriminazioni, il diritto alla libertà di coscienza e di religione.
Capire il GDPR
Per approfondire queste tematiche, ma anche una serie di altri aspetti, come gli obblighi e le modalità indicate dalle linee guida del WP29, ma anche l'analisi dei rischi e la Privacy by Design e by Default o la risposta in caso di Data breach, l'appuntamento è con il seminario “GDPR 679/2017 nuova normativa per la Privacy e l’analisi della DPIA con identificazione degli obblighi e delle modalità secondo le linee guida del WP29”. L'incontro, con inizio alle 17 presso la sede di via Grandi 9 a Lecco, è a partecipazione gratuita previa iscrizione.
Gli ingegneri,m ai quali verranno riconosciuti 3 CFFP, possono iscriversi attraverso la piattaforma Isi formazione, aziende e altri soggetti interessati possono invece farlo attraverso questo link.
L'intero seminario potrà essere seguito anche il canale Youtube dell'Ordine degli Ingegneri di Lecco.
