Linee Guida DPIA … per chi / per cosa ??

By | 3 maggio 2017

Il 4 Aprile 2017 il WP ha adottato le “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679” ma come mai, per chi e per quale scopo sono state emesse??

La risposta a questa domanda è inserita all’interno delle pagine che costituiscono l’intero documento e, a mio parere, non deve passare come un fatto di secondaria importanza, altrimenti si rischia di non entrare correttamente nel merito del documento fornito dal WP.

Le linee guida sono infatti fornite per garantire un’interpretazione coerente delle circostanze in cui una DPIA è obbligatoria ex art. 35 comma 3, ed hanno in primo luogo lo scopo di chiarire il concetto e fornire criteri per gli elenchi che devono essere adottati dal DPAs ai sensi dell’art. 35 comma 4 . Lo scopo del documento è di anticipare il lavoro futuro dell’EDPB (cfr art 70 comma 1 lettera e) e quindi di chiarire le pertinenti disposizioni del GDPR al fine di aiutare i titolari a conformarsi alla legge e fornire la certezza del diritto per i titolari che sono tenuti a svolgere una DPIA. Inoltre le linee guida cercano anche di promuovere lo sviluppo di:

  • una comune lista dell’Unione Europea delle operazioni di trattamento per le quali un DPIA è obbligatoria art. 35 comma 4;
  • una comune lista di operazioni di trattamento dell’UE per i quali la DPIA non è necessaria art. 35  comma 5;
  • criteri comuni sulla metodologia per la realizzazione di una DPIA articolo 35 comma 5;
  • criteri comuni per specificare quando l’autorità di vigilanza deve essere consultata art. 36 comma1;
  • raccomandazioni, ove possibile, sulla base dell’esperienza acquisita negli Stati membri dell’UE.

In quest’ottica di scopo le linee guida forniscono tutta una serie di dati utilissimi come i criteri ulteriori e le operazioni che vanno considerati nella elaborazione / redazione di una DPIA o quando invece una DPIA non sia necessaria, come si effettua e quali siano le metodologie sottostanti nel realizzarla, e specifica bene come la DPIA sotto il GDPR è uno strumento per la gestione dei rischi per i diritti delle persone interessate. Le linee guida ci lasciano con una buona notizia ossia la prossima emanazione di uno specifico standard di riferimento: ISO/IEC 29134 (project), Information technology – Security techniques – Privacy impact assessment – Guidelines, International Organization for Standardization (ISO) … speriamo!

Avv. Laura Marretta

N.B. gli articoli citati nel presente post s’intendono riferiti al Reg. Ue 2016/679

Category: Impatti Rischi e Misure Legal framework Tag:, , , , , , ,

About laura.marretta

Avv. Laura Marretta Dopo aver conseguito la Maturità Classica presso l’Istituto Marcelline di Milano e la Laurea in Giurisprudenza presso l’Univeristà Cattolica del Sacro Cuore diventa Avvocato del Foro di Milano ed è Partner dello Studio Legale Internazionale Romolotti Marretta dal 2006. Svolge la propria attività professionale con particolare riferimento ai settori della Privacy e Data Security, Tutela del Segreto Industriale, Diritto della Moda, Energy, e Sistemi di Organizzazione Aziendale (normative UNI CEI ed ISO) nonché in ambito di Certificazioni e Marcatura CE. Svolge il ruolo di DPO presso enti associativi di rilevanza nazionale nonché per conto di società del settore industriale e dei servizi. E’ relatrice presso corsi e convegni sul territorio nazionale, con specifico riferimento ai settori della privacy e della video security. Collabora in pubblicazioni nazionali ed internazionali (www.romolottimarretta.com/pubblicazioni.html) tra le quali numerose edizioni annuali di Doing Business edito dalla World Bank Maturità Classica at Istituto Marcelline of Milan, Graduated in Law at Univeristà Cattolica del Sacro Cuore, Attorney at Law of the Milan Bar, is a Partner of Romolotti Marretta International Law Firm since 2006. Her professional activity is focused on Privacy and Data Security, Trade Secret Protection, Fashion Law, Energy Law, Enterprise Organization (UNI CEI and ISO standards), Certification and CE mark. She is DPO in associations at national level and companies of the industrial and services areas. Speaker at seminars and conferences with specific reference to privacy and videosecurity law, she is a contributor in national and international publications, included several editions of Doing Business edited by World Bank (www.romolottimarretta.com/lang2/publications.html)

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.