Violazione della normativa in materia di protezione dei dati personali dovuta al mancato svolgimento delle Valutazioni di Impatto (D.P.I.A.) prescritte dall’art. 35 GDPR

Il Regolamento UE 2016/679 (di seguito, “GDPR”) introduce con l’art 24 il principio di accountability[1], ossia di responsabilizzazione del Titolare del trattamento. Tale principio ha inteso rendere effettiva la tutela dei dati personali, individuando in capo al Titolare l’onere di mettere a punto un impianto di misure tecniche e organizzative volte non solo a garantire la sicurezza del trattamento, ma anche a potere dimostrare il rispetto delle regole sancite dal GDPR. A corollario di quanto sopra, tutto l’approccio del sistema di gestione privacy deve essere basato sul rischio., definito come lo scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità, per i diritti e le libertà degli interessati.

Richiamato quanto disposto dall’art. 35[2] del Regolamento UE 2016/679 (di seguito, “GDPR”), secondo cui quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

Il Titolare del trattamento allorquando svolge una valutazione d’impatto sulla protezione dei dati si consulta con il Responsabile della protezione dei dati; ciò in ottemperanza a quanto stabilito nell’art. 38.1 GDPR (il Titolare si assicura che il Responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali).

Considerata la peculiarità dei trattamenti posti in essere dal titolare del trattamento, riconducibili alla fattispecie del trattamento, su larga scala, anche di categorie particolari di dati personali, (come ad es., dati relativi alla salute o alla vita sessuale della persona, dati sottoposti a maggior tutela: dati genetici, ecc.), è fatto obbligo al Titolare del trattamento di condurre una analisi dei rischi a cui farà seguito, quasi sempre, una valutazione di impatto privacy (Data protection Impact Assessment – D.P.I.A.)

Sempre il GDPR stabilisce che, se necessario, il Titolare del trattamento procede ad un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

In riferimento alla metodologia da utilizzare si indica, in linea con quanto suggerito dal Garante, il tool on line sviluppato dal CNIL (Autorità di controllo francese), https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assessment, o altra soluzione che il Titolare intenderà adottare.

L’art. 83, paragrafo 4, lettera a) del GDPR prevede che sia irrogata una sanzione amministrativa fino a 10 milioni di euro, nel caso vi sia una violazione degli obblighi del Titolare del trattamento a norma dell’art. 35 del GDPR.

[1] Articolo 24 Responsabilità del titolare del trattamento (C74-C78)

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato

conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

[2] Articolo 35 Valutazione d’impatto sulla protezione dei dati (C84, C89-C93, C95)

1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti

previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.

3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

4. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.

5. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.

6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.

7. La valutazione contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.

9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

10. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.

11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Violazione della normativa in materia di protezione dei dati personali dovuta al mancato svolgimento delle Valutazioni di Impatto (D.P.I.A.) prescritte dall’art. 35 GDPR.

About Author / Davide De Luca

Decreto legislativo n. 104/2022 e problematiche applicative legate al trattamento dei dati personali dei lavoratori. Adempimenti richiesti al Titolare del trattamento.

Gli obblighi di pubblicazione sul sito web aziendale. Adempimenti.

Lascia un commento Annulla risposta