Linee guida sulla valutazione d’impatto nella protezione dei dati (DPIA)

19 Aprile 2017 Approfondimenti, News, Regolamento Ue 27 aprile 2016 n. 2016/679/UE, Trattamento

Linee Guida DPIA in italiano

Il presente documento è stato tradotto dal documento originale e ufficiale, consultabile da questo link: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

La traduzione è pedissequa, in modo da evitare possibili alterazioni del testo.

 

Linee guida sulla valutazione d’impatto nella protezione dei dati (DPIA) e sul determinare se il trattamento è “suscettibile di provocare un alto rischio” ai fini del regolamento 2016/679

 

  1. Introduzione

Il regolamento 2016/679[1] (GDPR) si applica dal 25 maggio 2018. L’articolo 35 della GDPR introduce il concetto di una valutazione della protezione dei dati (DPIA), così come la direttiva 2016/680[2].

 

Una DPIA è un processo volto a descrivere il trattamento, valutare la necessità e la proporzionalità di una lavorazione e per aiutare a gestire i rischi per i diritti e le libertà delle persone fisiche risultanti dal trattamento di dati personali[3] (valutandoli e determinando le misure per far loro fronte). Le DPIA sono strumenti importanti per la responsabilità, in quanto aiutano i titolari non solo a soddisfare i requisiti del GDPR, ma anche per dimostrare che siano state adottate misure adeguate per garantire il rispetto del regolamento (si veda anche l’articolo 24)[4]. In altre parole, una DPIA è un procedimento per costruire e dimostrare la conformità.

Sotto il GDPR, il mancato rispetto dei requisiti DPIA può portare ad ammende inflitte dalla competente autorità di vigilanza. La mancata esecuzione una DPIA quando il trattamento è soggetto ad una DPIA (Articolo 35 (1) e (3)), effettuare una DPIA in modo errato (articolo 35 (2) e (7) a (9)), o, non consultare l’autorità di vigilanza competente, dove richiesto (articolo 36 (3) (e)), può in ogni caso portare a una sanzione amministrativa fino a 10 milioni di euro, oppure, nel caso di un’impresa, fino al 2% del fatturato mondiale annuo del precedente esercizio, se più alto.

 

Nota: il termine “valutazione d’impatto Privacy” (PIA) è spesso usato in altri contesti per indicare lo stesso concetto.

 

  1. Campo di applicazione delle Linee Guida

Queste linee guida tengono conto di:

  • la Dichiarazione 14 / EN WP 218 del Gruppo di Lavoro dell’Articolo 29 (WP29)[5];
  • le Linee Guida del WP29 sul Responsabile della protezione dei dati (DPO) 16 / EN WP 243[6];
  • il parere del WP29 sulla Limitazione delle finalità 13 / EN WP 203[7];
  • standard internazionali[8].

In linea con l’approccio basato sul rischio rappresentato dal GDPR, effettuare una DPIA non è obbligatorio per ogni operazione di trattamento. Una DPIA è richiesta solo quando il trattamento è “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35 (1)). Al fine di garantire un’interpretazione coerente delle circostanze in cui una DPIA è obbligatoria (articolo 35 (3)), le presenti linee guida hanno in primo luogo lo scopo di chiarire il concetto e fornire criteri per gli elenchi che devono essere adottati dal DPA ai sensi dell’articolo 35 (4) .

Ai sensi dell’articolo 70 (1) (e), il Comitato europeo per la protezione dei dati (EDPB) sarà in grado di emanare linee guida, raccomandazioni e le migliori pratiche al fine di favorire un’applicazione coerente del GDPR. Lo scopo di questo documento è di anticipare tale lavoro futuro dell’EDPB e quindi di chiarire le pertinenti disposizioni del GDPR al fine di aiutare i titolari a conformarsi alla legge e per fornire la certezza del diritto per i titolari che sono tenuti a svolgere una DPIA.

Queste linee guida cercano anche di promuovere lo sviluppo di:

  • una comune lista dell’Unione europea delle operazioni di trattamento per le quali un DPIA è obbligatoria (articolo 35 (4));
  • una comune lista di operazioni di trattamento dell’UE per i quali la DPIA non è necessaria (articolo 35 (5));
  • criteri comuni sulla metodologia per la realizzazione di una DPIA (articolo 35 (5));
  • criteri comuni per specificare quando l’autorità di vigilanza deve essere consultata (articolo 36 (1));
  • raccomandazioni, ove possibile, sulla base dell’esperienza acquisita negli Stati membri dell’UE.

 

III. DPIA: il Regolamento spiegato

La figura seguente illustra i principi di base relativi alla DPIA nella GDPR:

 

 

  1. A cosa si indirizza una DPIA? A una singola operazione o a una serie di trattamenti simili.

 

Una DPIA può riguardare una sola operazione di trattamento dei dati. Tuttavia, l’articolo 35 (1) afferma che “una singola valutazione può affrontare una serie di operazioni di trattamento simili che presentano rischi simili elevati”. Il Considerando 92 aggiunge che “ci sono circostanze in cui può essere ragionevole ed economico per l’oggetto di una valutazione d’impatto sulla protezione dei dati essere più ampio di quello di un singolo progetto, per esempio quando le autorità o gli enti pubblici intendono stabilire una comune applicazione o piattaforma di elaborazione o quando più titolari prevedono di introdurre una comune applicazione o ambiente di elaborazione attraverso un settore industriale o segmento o per un’attività orizzontale ampiamente utilizzata”.

Ciò significa che una singola DPIA potrebbe essere utilizzata per valutare molteplici operazioni di trattamento che sono simili in termini di rischi presentati, purché adeguatamente considerate la specifica natura, portata, contesto e finalità del trattamento. Questo potrebbe significare tecnologie simili utilizzate per raccogliere lo stesso tipo di dati per le medesime finalità. Ad esempio, un gruppo di autorità municipali in cui ciascuno predisponga un simile sistema TVCC potrebbe effettuare una unica DPIA che copra l’elaborazione di questi titolari separati, o un operatore ferroviario (singolo titolare) potrebbe ‘coprire’ la videosorveglianza in tutte le sue stazioni con una DPIA.

 

Quando il trattamento coinvolga co-titolari, essi devono definire i propri rispettivi obblighi con precisione. La loro DPIA dovrebbe indicare quale parte è responsabile per le varie misure intese a trattare i rischi e per proteggere i diritti delle persone interessate.

 

Una DPIA può anche essere utile per valutare l’impatto di protezione di dati di un prodotto tecnologico, per esempio un componente hardware o software, qualora ciò sia suscettibile ad essere utilizzato da altri titolari per effettuare diversi trattamenti. Naturalmente, il titolare del trattamento che distribuisce il prodotto, rimane obbligato a svolgere la propria DPIA per quanto riguarda l’attuazione specifica, ma questo può essere messo al corrente della DPIA preparata dal fornitore del prodotto, se del caso. Un esempio potrebbe essere il rapporto tra i produttori di contatori intelligenti e le società di servizi (utenze, multi-utility).

 

  1. Quali operazioni di trasformazione sono soggetti ad una DPIA?

Questa sezione descrive quando una DPIA è obbligatoria, quando è richiesto a causa del probabile rischio elevato, e ciò che deve accadere nel caso di trattamenti esistenti.

  1. a) Quando una DPIA è obbligatoria? Quando un trattamento “può presentare un rischio elevato”.

Il GDPR non richiede una DPIA da effettuare per ogni operazione di trattamento che forse comporta rischi per i diritti e le libertà delle persone fisiche. La realizzazione di un DPIA è obbligatoria solo quando un trattamento è probabile che presenti (“is likely to result in” nella versione inglese) “un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35 (1), illustrato da articolo 35 (3) e completato da articolo 35 ( 4)). E’ particolarmente rilevante quando una nuova tecnologia di elaborazione dati viene introdotta[9].

Nei casi in cui non sia chiaro se è necessaria una DPIA, il WP29 raccomanda che una DPIA venga eseguita comunque visto che la DPIA è uno strumento utile per aiutare i titolari del trattamento a conformarsi alla normativa sulla protezione dei dati.

Anche se una DPIA potrebbe essere richiesta in altre circostanze, l’articolo 35 (3) fornisce alcuni esempi di trattamento che “può presentare rischi elevati”:

  • “(a) una valutazione sistematica ed estesa degli aspetti personali relativi a persone fisiche che si basa su un trattamento automatizzato, tra cui profilazione, e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano significativamente la persona fisica[10];
  • (b) elaborazione su larga scala di categorie particolari di dati di cui all’articolo 9, (1), o di dati personali relativi a condanne penali e reati di cui all’articolo 10[11]; o
  • (c) un monitoraggio sistematico di una zona accessibile al pubblico su larga scala”.

 

Come le parole “in particolare” nella frase introduttiva dell’articolo 35 (3) GDPR indicano, questo è inteso come un elenco non esaustivo. Ci possono essere operazioni di trattamento ad “alto rischio” che non vengono incluse in questa lista, ma comportare rischi altrettanto elevati. Tali operazioni di trattamento devono essere soggetti a DPIA. Per questo motivo, i criteri elaborati sotto a volte vanno oltre una semplice spiegazione di ciò che dovrebbe essere compreso dai tre esempi forniti all’articolo 35 (3) GDPR.

Al fine di fornire un insieme più concreto di operazioni di elaborazione che richiedono una DPIA a causa del loro intrinseco alto rischio, tenendo conto degli elementi particolari degli articoli 35 (1) e 35 (3) da (a) a (c), l’elenco per essere adottata a livello nazionale ai sensi dell’articolo 35 (4) e considerando 71, 75 e 91, e altri riferimenti nel GDPR al trattamento “suscettibile di provocare un rischio elevato”[12], dovrebbero essere considerati i seguenti criteri:

  1. La valutazione o l’assegnazione di un punteggio, incluse la profilazione e la predizione, in particolare dagli “aspetti concernenti le prestazioni della persona interessata al lavoro, la situazione economica, la salute, le preferenze o interessi personali, l’affidabilità o il comportamento, la posizione o gli spostamenti” (punti 71 e 91). Esempi di questo potrebbero includere una banca che scremi i propri clienti tramite una banca dati di riferimento del credito, o di una società di biotecnologie che offre test genetici direttamente ai consumatori, al fine di valutare e prevedere i rischi di malattia / salute, o una società di costruzione di profili comportamentali o di marketing in base all’utilizzo o alla navigazione sul suo sito web.

 

  1. Decisioni automatiche con effetti giuridici o similmente significativi: elaborazione che mira a prendere decisioni su soggetti interessati e che produce “effetti giuridici riguardanti la persona fisica” o che “allo stesso modo sia determinante per la persona fisica” (articolo 35 (3) (a)). Ad esempio, il trattamento può comportare l’esclusione o la discriminazione di singoli. Elaborazione con poco o nessun effetto su individui non corrisponde a questo criterio specifico. Ulteriori spiegazioni su queste nozioni saranno fornite nelle prossime linee guida del WP29 in materia di Profilazione.
  2. Controllo sistematico: trattamento utilizzato per osservare, monitorare o controllare soggetti interessati, inclusi i dati raccolti attraverso “un controllo sistematico di una zona accessibile al pubblico” (articolo 35 (3) (c))[13]. Questo tipo di monitoraggio è considerato perché i dati personali possono essere raccolti in circostanze in cui gli interessati potrebbero non essere a conoscenza di chi sta raccogliendo i loro dati e di come saranno utilizzati. Inoltre, potrebbe essere impossibile per le persone evitare di essere oggetto di tale trattamento in spazi pubblici abituali (o accessibili al pubblico).
  3. Dati Sensibili[14]: questo include le categorie particolari di dati ai sensi dell’articolo 9 (per esempio, informazioni sulle opinioni politiche degli individui), nonché i dati personali relativi alle condanne penali o ai reati. Un esempio sarebbe il mantenimento complessivo delle cartelle dei pazienti in un ospedale o un investigatore privato che conserva i dettagli sui trasgressori. Questo criterio include anche i dati che possono più in generale essere considerati come aggravanti del possibile rischio per i diritti e le libertà delle persone, come i dati di comunicazione elettronica, i dati relativi all’ubicazione, i dati finanziari (che potrebbero essere utilizzate per le frodi nei pagamenti). A questo proposito, può essere rilevante definire se i dati siano stati resi pubblici dalla persona interessata o da terze parti. Il fatto che i dati personali siano disponibili al pubblico può essere considerato come un fattore nel valutare se ci si aspetta che i dati siano ulteriormente utilizzati per determinati scopi. Questo criterio può anche includere informazioni elaborate da una persona fisica per l’esercizio di attività di carattere esclusivamente personale o domestico (come servizi informatici di storage per la gestione dei documenti personali, servizi di posta elettronica, diari, e-reader dotato di caratteristiche per prendere appunti, e varie applicazioni con credenziali che possono contenere dati sensibili), la cui comunicazione o elaborazione per scopi diversi da attività domestiche può essere percepito come molto invadente.
  4. I dati elaborati su larga scala: il GDPR non definisce cosa costituisca larga scala, anche se il considerando 91 fornisce alcune indicazioni. In ogni caso, il WP29 raccomanda che i seguenti fattori, in particolare, siano considerati per determinare se il trattamento è effettuato su larga scala[15]:
  5. il numero di persone interessate, come numero specifico o come percentuale della popolazione di riferimento;
  6. il volume dei dati e / o la gamma di diversi elementi di dati in corso di elaborazione;
  7. la durata, o la permanenza, dell’attività di elaborazione dati;
  8. l’estensione geografica delle attività di elaborazione.
  9. Set di dati che sono stati abbinati o combinati, ad esempio provenienti da due o più operazioni di trattamento effettuati per scopi diversi e / o da altri titolari in modo tale da superare le ragionevoli aspettative dell’interessato[16].
  10. I dati relativi interessati vulnerabili (considerando 75): il trattamento di questo tipo di dati può richiedere una DPIA a causa del maggiore squilibrio di potere tra la persona e il titolare, cioè l’individuo non può essere in grado di consentire, od opporsi, al trattamento dei propri dati. Ad esempio, i dipendenti incontrerebbero spesso serie difficoltà nell’opporsi al trattamento effettuato dal datore di lavoro, quando legato alla gestione delle risorse umane. Allo stesso modo, i bambini possono essere considerati come non in grado di opporsi o acconsentire al trattamento dei propri dati consapevolmente e in maniera ponderata. Ciò riguarda anche segmento più vulnerabile della popolazione che necessita di protezione speciale, come, ad esempio, i malati mentali, i richiedenti asilo, o gli anziani, un paziente, o in ogni caso in cui può essere identificato uno squilibrio nel rapporto tra la posizione della persona interessata e il titolare.
  11. L’uso innovativo o l’applicazione di soluzioni tecnologiche o organizzative, come combinando l’uso di impronte digitali e il riconoscimento del volto per un migliore controllo di accesso fisico, ecc. Il GDPR mette in chiaro (articolo 35 (1) e considerando 89 e 91) che l’uso di una nuova tecnologia può innescare la necessità di effettuare una DPIA. Questo perché l’uso di tale tecnologia può comportare nuove forme di raccolta e di uso dei dati, possibilmente con un rischio elevato per i diritti e le libertà degli individui. In effetti, le conseguenze personali e sociali della diffusione di una nuova tecnologia potrebbero essere sconosciute. Una DPIA aiuterà il titolare del trattamento a capire e trattare tali rischi. Ad esempio, alcune applicazioni di “Internet delle cose” potrebbero avere un impatto significativo sulla vita quotidiana e sulla privacy degli individui; e quindi richiedono una DPIA.
  12. Il trasferimento dei dati attraverso i confini al di fuori dell’Unione europea (considerando 116), prendendo in considerazione, tra gli altri, il paese o i paesi di destinazione prevista, la possibilità di ulteriori trasferimenti o la probabilità di trasferimenti basati su deroghe per situazioni specifiche stabilite dal GDPR.
  13. Quando l’elaborazione in sé “impedisce agli interessati di esercitare un diritto o utilizzare un servizio o un contratto” (articolo 22 e punto 91). Questo include lavorazioni eseguite in un’area pubblica che le persone che passano non possono evitare, o trattamenti che mirano a consentire, modificare o rifiutare l’accesso delle persone interessate a un servizio o alla stipula di un contratto. Un esempio di questo è quando una banca scremi i propri clienti tramite una banca dati di riferimento del credito al fine di decidere se offrire loro un prestito.

Il WP29 ritiene che più sono i criteri inclusi nel trattamento, più è probabile che presenti un rischio elevato per i diritti e le libertà delle persone, e quindi richieda una DPIA. Come regola generale, un’operazione di elaborazione che includa meno di due criteri può non richiedere una DPIA per il minore livello di rischio e operazioni di trattamento che soddisfino almeno due di questi criteri richiederanno una DPIA. Per esempio:

 

 

Tuttavia, in alcuni casi, un’elaborazione che presenti solo uno di questi criteri richiederà una DPIA. Al contrario, se il titolare è convinto che, nonostante il fatto che il trattamento riunisca almeno due criteri, ritenga non sia “probabilmente ad alto rischio”, egli deve documentare a fondo le ragioni per non eseguire una DPIA.

Inoltre, un responsabile del trattamento soggetto all’obbligo di effettuare la DPIA “deve mantenere un registro delle attività di trattamento sotto la propria responsabilità”, tra cui in particolare, le finalità del trattamento, una descrizione delle categorie di dati e dei destinatari dei dati e “dove possibile, una descrizione generale delle misure tecniche e organizzative di sicurezza di cui all’articolo 32 (1)”(articolo 30 (1)) e deve valutare se un rischio elevato è probabile, anche se in ultima analisi decide di non effettuare una DPIA.

 

Nota: le autorità di vigilanza è tenuta a stabilire, rendere pubblico e comunicare un elenco delle operazioni di trattamento che richiedono una DPIA al Comitato europeo per la protezione dei dati (EDPB) (articolo 35 (4))[17]. I criteri di cui sopra possono aiutare le autorità di vigilanza a costituire un elenco del genere, potenzialmente con contenuti più specifici aggiunti nel tempo, se del caso. Ad esempio, anche il trattamento di qualsiasi tipo di dato biometrico o quelli dei bambini potrebbero essere considerati rilevanti per lo sviluppo di un elenco ai sensi dell’articolo 35 (4).

 

  1. b) Quando non è richiesta una DPIA? Quando l’elaborazione non è “suscettibile di provocare un alto rischio”, o è già stata autorizzata, o ha una base giuridica.

Una DPIA non è richiesta nei seguenti casi:

  • quando il trattamento non è “suscettibile di provocare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35 (1));
  • quando la natura, la portata, il contesto e finalità del trattamento sono molto simili a un trattamento per cui la DPIA è già stata effettuata. In tali casi, i risultati di DPIA per analogo trattamento possono essere utilizzati (articolo 35 (1)[18]);
  • in cui un’operazione di elaborazione ha una base giuridica nel diritto dell’Unione europea o una legge di uno Stato membro ha dichiarato che una DPIA iniziale non deve essere effettuata, quando la legge regola l’operazione di trattamento specifico e quando una DPIA, secondo gli standard del GDPR, è già stata svolta come parte della creazione di questa base giuridica (articolo 35 (10))[19];
  • quando il trattamento è incluso nella lista opzionale (stabilita dall’autorità di vigilanza) delle operazioni di trattamento per le quali non è necessaria la DPIA (articolo 35 (5)[20]). Tale elenco può contenere attività di trattamento che soddisfano le condizioni specificate da questa autorità, in particolare attraverso le linee guida, le decisioni o le autorizzazioni specifiche, le regole di conformità, ecc (per esempio in Francia, autorizzazioni, esenzioni, regole semplificate, pacchetti di conformità …). In questi casi, e soggetti a ri-valutazione da parte della competente autorità di vigilanza, una DPIA non è richiesta, ma solo se il trattamento rientra strettamente nell’ambito della relativa procedura menzionata nella lista e continua a rispettare pienamente i requisiti pertinenti.

 

  1. c) Che dire di operazioni di trattamento già esistenti? Le DPIA sono necessarie per quelli creati dopo maggio 2018 o che cambino significativamente.

L’obbligo di effettuare una DPIA si applica alle operazioni di trattamento che soddisfano i criteri di cui all’articolo 35 e avviate dopo che il GPDR diventa applicabile il 25 maggio 2018.

WP29 raccomanda vivamente di effettuare le DPIA per operazioni di trasformazione già in corso prima del maggio 2018. In aggiunta, se necessario, “il titolare effettua una revisione per valutare se l’elaborazione viene eseguita in conformità con la valutazione d’impatto sulla protezione dei dati almeno quando c’è un cambiamento del rischio rappresentato dall’operazione di trattamento (articolo 35 (11)[21]).

Inoltre, questo sarebbe il caso in cui un cambiamento significativo per l’operazione di elaborazione ha preso posto[22] dopo maggio 2018, ad esempio perché una nuova tecnologia è entrata in uso o perché i dati personale vengono utilizzati per scopi diversi. In questi casi, il trattamento in effetti diventa una nuova operazione di trattamento dati e potrebbe richiedere una DPIA.

La DPIA dovrebbe certamente essere rivista quando c’è un cambiamento del rischio presentato da tale trattamento (articolo 35 (11)).

 

I rischi possono cambiare come risultato di modifica di uno dei componenti dell’operazione di trattamento (dati, attività di supporto, fonti di rischio, impatti potenziali, minacce, ecc) o perché il contesto del trattamento evolve (scopo, funzionalità, etc.). I sistemi di trattamento dati possono evolvere rapidamente e nuove vulnerabilità possono sorgere. Pertanto si deve notare che la revisione di una DPIA non è utile solo per il miglioramento continuo, ma anche fondamentale per mantenere il livello di protezione dei dati in un ambiente che cambia sul tempo più lungo.

Infine, una DPIA può anche diventare necessaria perché il contesto organizzativo o sociale per l’attività di trattamento è cambiato, per esempio perchè gli effetti di determinate decisioni automatizzate sono diventati più significativi, nuove categorie di persone fisiche sono diventate vulnerabili alla discriminazione o i dati sono destinati a essere trasferiti a destinatari situati in un paese che ha lasciato l’Unione europea.

Come una questione di buona pratica, una DPIA deve essere effettuata in modo continuo su attività di trattamento esistenti. Tuttavia, dovrebbe essere ri-valutata dopo 3 anni, o forse prima, a seconda della natura del trattamento e il tasso di variazione dell’operazione di trattamento e delle circostanze generali. Tale valutazione è consigliata anche per l’elaborazione dei dati, che hanno avuto luogo prima del maggio 2018 e quindi non soggetti a una DPIA, per assicurarsi che 3 anni dopo tale data o prima, a seconda del contesto, i rischi per i diritti e le libertà siano ancora mitigati.

 

  1. Come effettuare una DPIA?
  2. a) In quale momento deve essere eseguita una DPIA? Prima del trattamento.

La DPIA deve essere effettuata “prima del trattamento” (articoli 35 (1) e 35 (10), punti 90 e 93). Ciò è coerente con i principi di protezione dei dati in base alla progettazione di default (articolo 25 e il considerando 78).

La DPIA deve essere iniziata già nel pratico nella progettazione delle operazioni di trattamento, anche se alcune delle operazioni di trattamento sono ancora sconosciute. Dato che la DPIA viene aggiornata per tutto il ciclo di vita del progetto, si farà in modo che la protezione dei dati e la privacy siano considerati e si promuoverà la creazione di soluzioni che promuovano la compliance. Può anche essere necessario ripetere singole fasi della valutazione mentre il processo di sviluppo progredisce perché la selezione di alcune misure tecniche o organizzative possono influenzare la gravità o la probabilità dei rischi posti dal trattamento.

Il fatto che la DPIA può avere bisogno di essere aggiornata una volta che il trattamento è effettivamente iniziato non è un motivo valido per rinviare o non realizzare una DPIA. In alcuni casi la DPIA sarà un processo continuo, per esempio quando un’operazione di trattamento è dinamica e soggetta a continui cambiamenti. Effettuare una DPIA è un processo continuo, non un esercizio di una sola volta.

 

  1. b) Chi ha l’obbligo di effettuare la DPIA? Il titolare, con il DPO ed il responsabile (o responsabili)

Il titolare è responsabile di assicurare che la DPIA viene eseguita (articolo 35 (2)). L’esecuzione della DPIA può essere fatta da qualcun altro, all’interno o all’esterno dell’organizzazione, ma il titolare rimane in ultima analisi responsabile per questo compito.

Il titolare deve anche chiedere il parere del responsabile della protezione dei dati (RPD), se designato (articolo 35 (2)), e questo consiglio, e le decisioni prese, dovrebbero essere documentate all’interno della DPIA. L’RPD deve anche monitorare l’esecuzione della DPIA (articolo 39 (1) (c)). Ulteriori indicazioni sono contenute nelle Linee Guida WP29 sul Responsabile della protezione dei dati 16 / IT WP 243.

 

Se l’elaborazione è totalmente o parzialmente eseguita da un responsabile, il responsabile dovrebbe aiutare il titolare nella realizzazione della DPIA e fornire tutte le informazioni necessarie.

Il titolare deve “cercare il punto di vista degli interessati o dei loro rappresentanti” (articolo 35 (9)), “se del caso”. Il WP29 ritiene che:

  • tali opinioni potrebbero essere ricercati attraverso una varietà di mezzi, a seconda del contesto (ad esempio, uno studio interno o esterno legato alla finalità e modalità dell’operazione di elaborazione, una domanda formale ai rappresentanti del personale, alle associazioni di categoria o ai sindacati o un sondaggio inviato ai futuri clienti del titolare del trattamento);
  • se la decisione finale del titolare del trattamento differisce dal punto di vista degli interessati, i motivi per andare avanti o meno devono essere documentati;
  • il titolare deve anche documentare le ragioni per non indagare il punto di vista delle persone interessate, se si decide che questo non è appropriato.

 

Infine, è buona norma definire e documentare altri ruoli e responsabilità specifiche, in base alla politica interna, i processi e le regole, es .:

  • quando specifiche unità di business possono proporre di effettuare una DPIA, queste unità dovrebbero quindi fornire un contributo alla DPIA e dovrebbero essere coinvolte nel processo di convalida;
  • se del caso, si consiglia di chiedere il parere di esperti indipendenti di diverse professioni[23] (avvocati, tecnici, esperti di sicurezza, sociologi, studiosi di etica, ecc.)
  • ruoli e responsabilità dei responsabili devono essere contrattualmente definiti; e la DPIA deve essere effettuata con l’aiuto del responsabile, tenendo conto della natura del trattamento e delle informazioni disponibili al responsabile (articolo 28 (3) (f));
  • il DPO potrebbe suggerire che il controllore svolga una DPIA su un determinato trattamento, dovrebbe aiutare le parti interessate dalla metodologia, aiutare a valutare la qualità della valutazione dei rischi, aiutare a valutare se il rischio residuo è accettabile, e contribuire allo sviluppo di conoscenze specifiche al contesto del titolare;
  • il Responsabile della sicurezza del sistema informativo (CISO – Chief Information Security Officer), se nominato, e / o il reparto IT, dovrebbero fornire assistenza al responsabile, e potrebbero proporre di effettuare una DPIA su un determinato trattamento, a seconda delle esigenze operative o di sicurezza.

 

  1. c) Qual è la metodologia per effettuare una DPIA? Metodologie diverse, ma criteri comuni.

Il GDPR definisce le caratteristiche minime di una DPIA (articolo 35 (7), e considerando 84 e 90):

  • “una descrizione delle operazioni di trattamento previste e degli scopi del trattamento”;
  • “una valutazione della necessità e della proporzionalità del trattamento”;
  • “una valutazione dei rischi per i diritti e le libertà delle persone”;
  • “le misure previste per:

o “affrontare i rischi”;

o “dimostrare la conformità al presente regolamento”.

 

La seguente figura illustra il processo interattivo generico per effettuare una DPIA[24]:

 

 

 

Il rispetto di un codice di condotta (articolo 40) deve essere preso in considerazione (articolo 35 (8)) per valutare l’impatto di un’operazione di trattamento di dati. Questo può essere utile per dimostrare che le misure adeguate sono stati scelte o messe in atto, a condizione che il codice di condotta sia adeguato per l’operazione di trattamento.

Tutti i requisiti specificati nel GDPR forniscono un quadro ampio e generico per la progettazione e la realizzazione di una DPIA. La realizzazione pratica di una DPIA dipenderà dai requisiti stabiliti nel GDPR che può essere completato con una guida pratica più dettagliata. Questo apre la strada alla scalabilità, il che significa che anche un piccolo titolare è in grado di progettare e realizzare un’adeguata DPIA.

 

Il considerando 90 del GDPR delinea un certo numero di componenti della DPIA che si sovrappongono con componenti ben definite di gestione del rischio (ad esempio ISO 31000[25]). In termini di gestione del rischio, una DPIA si propone di “gestire i rischi” per i diritti e le libertà delle persone fisiche, utilizzando i seguenti tre processi:

  • stabilendo il contesto: “tenuto conto di natura, portata, contesto e finalità del trattamento e fonti di rischio”;
  • valutando i rischi: “valutare la particolare probabilità e la gravità del rischio elevato”;
  • trattando i rischi: “mitigare il rischio” e “garantire la protezione dei dati personali”, e “dimostrare la conformità al presente regolamento”.

 

Nota: la DPIA sotto il GDPR è uno strumento per la gestione dei rischi per i diritti delle persone interessate e, quindi, prende il loro punto di vista, come si è fatto in alcuni settori (ad esempio, la sicurezza sociale), mentre la gestione del rischio in alcuni altri campi (ad esempio, sicurezza delle informazioni) è focalizzata sull’organizzazione. Il “rischio” è uno scenario che descrive un evento e le sue conseguenze, stimati in termini di gravità e probabilità. L’articolo 35 si riferisce ad un probabile alto rischio “per i diritti e le libertà delle persone”. Come indicato nella Dichiarazione 14/EN WP 218 (p.4) del Gruppo di Lavoro dell’articolo 29 (WP29), il riferimento ai “diritti e libertà” degli interessati riguarda in primo luogo il diritto alla privacy, ma può coinvolgere anche altri fondamentali diritti quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà, di coscienza e di religione.

 

Il GDPR fornisce ai titolari flessibilità nel determinare la struttura precisa e la forma della DPIA per consentire che si adatti alle pratiche di lavoro esistenti. Ci sono un certo numero di differenti processi stabiliti all’interno dell’Unione europea e in tutto il mondo, che tengono conto dei componenti descritti nel considerando 90. Tuttavia, qualunque sia la sua forma, una DPIA deve essere una vera e propria valutazione dei rischi, che consenta ai titolari di adottare misure per affrontare tali rischi.

 

Diverse metodologie (vedi allegato 1 per esempi di metodologie di protezione dei dati e valutazione d’impatto sulla privacy) potrebbero essere utilizzati per facilitare l’attuazione dei requisiti di base stabiliti nel GDPR.

 

Al fine di consentire a questi diversi approcci di coesistere, consentendo nel contempo ai titolari di conformarsi al GDPR, sono stati individuati dei criteri comuni (vedi allegato 2). I criteri chiariscono i requisiti di base del regolamento, ma forniscono sufficiente raggio d’azione per le diverse forme di attuazione. Questi criteri possono essere usati per dimostrare che una particolare metodologia di DPIA soddisfi gli standard richiesti dal GDPR.

 

Il WP29 incoraggia lo sviluppo di quadri DPIA settoriali. Questo perché essi possono attingere a conoscenze specifiche di settore, il che significa che la DPIA si può indirizzare alle specifiche di un particolare tipo di operazione di trattamento (es .: particolari tipi di dati, beni aziendali, le potenziali ripercussioni, minacce, misure). Ciò significa che la DPIA può risolvere i problemi che sorgono in un particolare settore economico, o se si utilizzano particolari tecnologie o si effettuano particolari tipi di operazioni di trattamento.

 

  1. d) la DPIA deve essere pubblicata? Sì, in tutto o in parte, e deve essere comunicata all’autorità di vigilanza in caso di consultazione preliminare.

 

La pubblicazione di una DPIA non è un requisito legale del GDPR. E’ lasciato alla decisione del titolare. Tuttavia, i titolari del trattamento dovrebbero prendere in considerazione la pubblicazione della loro DPIA, o magari una parte della loro DPIA. Lo scopo di tale processo sarebbe quello di promuovere la fiducia nelle operazioni di elaborazione del titolare, e dimostrare responsabilità e trasparenza. E’ in particolare buona pratica pubblicare una DPIA quando organismi pubblici sono interessati dall’operazione di trattamento. Questo potrebbe essere in particolare il caso in cui un’autorità pubblica svolge una DPIA.

La DPIA pubblicata non ha bisogno di contenere l’intera valutazione, soprattutto quando la DPIA può presentare le informazioni specifiche relative ai rischi di sicurezza per il trattamento dei dati o divulgare segreti commerciali o informazioni commerciali riservate. Potrebbe anche consistere solo di una sintesi dei principali risultati della DPIA.

Inoltre, quando una DPIA rivela elevati rischi residui, il titolare del trattamento è tenuto a chiedere preventiva consultazione per l’elaborazione da parte dell’autorità di vigilanza (articolo 36 (1)). La DPIA deve essere fornita come parte di questa consultazione (articolo 36 (3) (e)).

 

  1. Quando si deve consultare l’autorità di vigilanza? Quando i rischi residui sono elevati

 

Come spiegato in precedenza:

  • una DPIA è necessaria quando un’operazione di trattamento “è suscettibile di provocare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35 (1), vedi III.B.a). A titolo di esempio, il trattamento dei dati sanitari su larga scala è considerato come suscettibile di provocare un rischio elevato, e richiede una DPIA;
  • poi, è responsabilità del titolare valutare i rischi per i diritti e le libertà delle persone e identificare le misure[26] previste per ridurre tali rischi ad un livello accettabile e per dimostrare la conformità con il GDPR (articolo 35 (7) , vedi III.Cc). Un esempio potrebbe essere la conservazione dei dati personali su computer portatili con adeguate misure tecniche e organizzative di sicurezza (crittografia completa del disco, forte gestione delle password, appropriato controllo di accesso, backup garantiti, etc.) oltre a politiche esistenti (informativa, consenso, diritto di accesso, diritto di opposizione, etc.).

Nell’esempio dei portatili sopra, i rischi sono stati gestiti dal titolare del trattamento e secondo la lettura dell’articolo 36 (1) e dei considerando 84 e 94, il trattamento può procedere senza consultare l’autorità di vigilanza. È nei casi in cui i rischi individuati non possono essere sufficientemente affrontati dal titolare (cioè i rischi residui rimangono alti) allora il titolare deve consultare l’autorità di controllo.

Un esempio di un alto rischio residuo inaccettabile comprende che le persone interessate possono incontrare conseguenze rilevanti, o anche irreversibili, che non possono superare, e/o quando appare evidente che il rischio si verifichi.

Ogni volta che il titolare del trattamento non riesce a trovare misure sufficienti (vale a dire quando i rischi residui sono ancora elevati), il consulto dell’autorità di vigilanza sarà necessario.

Inoltre, il titolare dovrà consultare l’autorità di vigilanza ogni volta che legge dello Stato membro richiede al titolare di consultare e/o ottenere l’autorizzazione preventiva dall’autorità di vigilanza in relazione al trattamento di un titolare per l’esecuzione di un compito svolto dal titolare nel pubblico interesse, tra cui trattamenti in materia di protezione sociale e di salute pubblica (articolo 36 (5)).

Va comunque precisato che, indipendentemente dal fatto che la consultazione con la vigilanza sia necessaria in base al livello di rischio residuo, gli obblighi di mantenere il documento della DPIA e di aggiornarla a tempo debito rimangono.

 

  1. Conclusioni e Raccomandazioni

Le DPIA sono un modo utile per i titolari del trattamento per implementare sistemi di elaborazione dati che soddisfino il GDPR e possono essere obbligatorie per alcuni tipi di lavorazioni. Queste sono scalabili e possono assumere forme diverse, ma il GDPR enuncia i requisiti fondamentali per un’efficace DPIA. I titolari del trattamento dovrebbero vedere la realizzazione di una DPIA come un’attività utile e positiva che aiuta l’adeguamento normativo.

L’articolo 24 (1) stabilisce la responsabilità di base del titolare in termini di rispetto del GDPR: “tenendo conto di natura, portata, contesto e finalità del trattamento, nonché i rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare deve attuare misure tecniche ed organizzative per garantire ed essere in grado di dimostrare che il trattamento viene eseguito in conformità del presente regolamento. Tali misure sono riviste e aggiornate, ove necessario”.

La DPIA è una parte fondamentale dell’adeguamento al regolamento quando è previsto o in corso un trattamento dei dati ad alto rischio. Ciò significa che i titolari dovrebbero utilizzare i criteri stabiliti nel presente documento per determinare se una DPIA deve essere effettuata. Il titolare del trattamento può integrare questa lista ai requisiti normativi del GDPR. Questo dovrebbe portare a una maggiore fiducia delle persone interessate e di altri titolari del trattamento.

 

Dove è previsto un probabile trattamento ad alto rischio, il titolare del trattamento deve:

  • scegliere una metodologia di DPIA (esempi forniti in allegato 1) che soddisfi i criteri di cui all’allegato 2, oppure specificare e attuare un processo sistematico di DPIA che:
  • sia conforme ai criteri di cui all’allegato 2;
  • sia integrato nel progetto esistente, sviluppo, cambiamento, rischio e processi di revisione operativi secondo processi interni, contesto e cultura;
  • coinvolga le parti interessate appropriate e definisca le loro responsabilità in modo chiaro (titolare, DPO, interessati o loro rappresentanti, commerciali, servizi tecnici, responsabili, responsabile della sicurezza delle informazioni, etc.);
  • fornire il documento della DPIA all’autorità di vigilanza competente, quando gli è richiesto di farlo;
  • consultare l’autorità di controllo quando non é riuscito a stabilire misure sufficienti per attenuare i rischi elevati;
  • rivedere periodicamente la DPIA e il trattamento valutato, almeno quando c’è un cambiamento del rischio emerso nell’elaborazione del trattamento;
  • documentare le decisioni prese.

 

Allegato 1 – Esempi di modelli europei esistenti di DPIA

 

Il GDPR non specifica quale procedura di DPIA deve essere seguita ma consente, invece, ai titolari del trattamento di introdurre un quadro che integri le pratiche di lavoro esistenti, purché tenga conto dei componenti descritti all’articolo 35 (7). Tale struttura può essere su misura del titolare o comune a un particolare settore. I modelli precedentemente pubblicati sviluppati da DPA dell’UE e i modelli settoriali dell’UE includono (ma non sono limitati a):

 

Esempi di modelli generici europei:

  • DE: Standard Data Protection Model, V.1.0 – Trial version, 2016[27].

https://www.datenschutzzentrum.de/uploads/SDM-Methodology_V1_EN1.pdf

  • ES: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección de datos (AGPD), 2014.

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf

  • FR: Privacy Impact Assessment (PIA), Commission nationale de l’informatique et des libertés (CNIL), 2015.

https://www.cnil.fr/fr/node/15798

  • UK: Conducting privacy impact assessments code of practice, Information Commissioner’s Office (ICO), 2014.

https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf

 

Esempi di modelli europei di specifici settori:

  • Privacy and Data Protection Impact Assessment Framework for RFID Applications[28].

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp180_annex_en.pdf

  • Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems[29]

http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf

 

Uno standard internazionale fornirà anche le linee guida per le metodologie utilizzate per la realizzazione di una DPIA (ISO / IEC 2.913.4[30]).

 

 

 

Allegato 2 – Criteri per una DPIA adeguata

 

Il WP29 propone i seguenti criteri che i titolari possono utilizzare per valutare se una DPIA, o un metodo per realizzare una DPIA, è sufficientemente completo per conformarsi al GDPR:

  • é prevista una descrizione sistematica del trattamento (articolo 35 (7) (a)):
    • sono presi in considerazione natura, portata, contesto e finalità del trattamento (punto 90);
    • sono descritti i dati personali, i destinatari e il periodo in cui verranno memorizzati;
    • è fornita una descrizione funzionale del trattamento;
    • sono indentificate le risorse su cui sono trattati i dati personali (hardware, software, reti, persone, mezzi cartacei o di trasmissione cartacei);
    • è tenuto in considerazione il rispetto dei codici di condotta approvati (articolo 35 (8));
  • sono valutati necessità e proporzionalità (articolo 35 (7) (b)):
    • sono determinate le misure previste per conformarsi al regolamento (articolo 35 (7) (d), e il considerando 90), tenendo conto delle:
      • misure che contribuiscono alla proporzionalità e necessità del trattamento sulla base di:
        • finalità specifiche, esplicite e legittime (articolo 5 (1) (b));
        • liceità del trattamento (articolo 6);
        • adeguatezza, pertinenza e limitazione dei dati a quanto necessario (articolo 5, (1) (c));
        • limitazione della durata di conservazione (articolo 5 (1) (e));
      • misure che contribuiscono ai diritti delle persone interessate:
        • informazioni fornite alla persona interessata (articoli 12, 13 e 14);
        • diritto di accesso e alla portabilità (articoli 15 e 20);
        • diritto di rettificare, cancellare, opporsi, limitazione del trattamento (articolo da 16 a 19 e 21);
        • destinatari;
        • responsabili (articolo 28);
        • garanzie sul trasferimento (o trasferimento) internazionale (Capitolo V);
        • consultazione preventiva (articolo 36).
  • sono gestiti i rischi per i diritti e le libertà delle persone (articolo 35 (7) (c)):
    • sono analizzate origine, natura, particolarità e gravità dei rischi (cfr considerando 84) o, più specificamente, il punto di vista delle persone interessate per ciascun rischio (accesso illegittimo, modifica indesiderata, e la scomparsa dei dati):
      • le fonti di rischio sono prese in considerazione (considerando 90);
      • sono identificati gli impatti potenziali per i diritti e le libertà delle persone in caso di accesso illegittimo, modifica indesiderata e perdita dei dati;
      • vengono identificate le minacce che potrebbero portare ad accesso illegittimo, modifica indesiderata e perdita dei dati;
      • sono stimate la probabilità e la gravità (punto 90);
    • sono determinate le misure previste per il trattamento di tali rischi (articolo 35 (7) (d), e il considerando 90);
  • sono coinvolte le parti interessate:
    • è richiesto il consiglio del DPO (articolo 35 (2));
    • sono ricercati il punto di vista degli interessati o dei loro rappresentanti (articolo 35 (9)).

 

[1]
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

[2]
Article 27 of the Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, also states that a privacy impact assessment is needed for “the processing is likely to result in a high risk to the rights and freedoms of natural persons”.

[3]
The GDPR does not formally define the concept of a DPIA as such, but
– its minimal content is specified by Article 35(7) as follows:

o “(a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;

o (b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;

o (c) an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and

o (d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned”;
– its meaning and role is clarified by recital 84 as follows: “In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk”.

[4]
            See also recital 84: “The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation”.

[5]
WP29 Statement 14/EN WP 218 on the role of a risk-based approach to data protection legal frameworks adopted on 30 May 2014.
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp218_en.pdf?wb48617274=72C54532

[6]
WP29 Guidelines on Data Protection Officer 16/EN WP 243 Adopted on 13 December 2016.  http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf?wb48617274=CD63BD9A

[7]
WP29 Opinion 03/2013 on purpose limitation 13/EN WP 203Adopted on 2 April 2013.
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf?wb48617274=39E0E409

[8]
e.g. ISO 31000:2009, Risk management — Principles and guidelines, International Organization for Standardization (ISO) ; ISO/IEC 29134 (project), Information technology – Security techniques – Privacy impact assessment – Guidelines, International Organization for Standardization (ISO).
[9]
See recitals 89, 91 and Article 35(1) and (3) for further examples.

[10]
See recital 71: “in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles”.
[11]
See recital 75: “where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures”.
[12]
See e.g. recitals 75, 76, 92, 116.

[13]
The WP29 interprets “systematic” as meaning one or more of the following (see the WP29 Guidelines on Data Protection Officer 16/EN WP 243):
– occurring according to a system;

  • pre-arranged, organised or methodical;
  • taking place as part of a general plan for data collection;
  • carried out as part of a strategy.

The WP29 interprets “publicly accessible area” as being any place open to any member of the public, for example a piazza, a shopping centre, a street or a public library.

[14]        Nonetheless, if sensitive data are not processed systematically and on a large scale, their processing does not automatically present high risks for the rights and freedoms of data subjects. For example, a data controller organizing a corporate event, and would like to know therefore what kind of food his guests are allergic to, could process these sensitive data exceptionally and would not need to perform a DPIA. Similarly, processing of special categories of data by a medical doctor in a one-person practice should not be considered “large scale” (recital 91).

[15]        See the WP29 Guidelines on Data Protection Officer 16/EN WP 243.

[16]        See explanation in the WP29 Opinion on Purpose limitation 13/EN WP 203, p.24.

[17]             In that context, “the competent supervisory authority shall apply the consistency mechanism referred to in Article 63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member States, or may substantially affect the free movement of personal data within the Union” (Article 35(6)).

[18]        ”A single assessment may address a set of similar processing operations that present similar high risks”.

[19]        Please note that where a DPIA was carried out at the stage of the proposal for the legal basis, it is likely to require a review before entry into operations, as the adopted legal basis may differ from the proposal in ways that affect the impact on privacy and data protection.

[20]        To that extent, “the competent supervisory authority shall apply the consistency mechanism referred to in Article 63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member States, or may substantially affect the free movement of personal data within the Union” (Article 35(6)).

[21]        Article 35(10) explicitly excludes only the application of article 35 paragraphs 1 to 7.

[22]        In terms of context, risks, purposes, personal data processed, recipients, data combinations, security measures and international transfers.

[23]        Recommendations for a privacy impact assessment framework for the European Union, Deliverable D3:

http://www.piafproject.eu/ref/PIAF_D3_final.pdf.

[24]        It should be underlined that the process depicted here is iterative: in practice, it is likely that each of the stages is revisited multiple times before the DPIA can be completed.

[25]                         Risk management processes: communication and consultation, establishing the context, risk assessment, risk treatment, monitoring and review (see terms and definitions, and table of content, in the ISO 31000 preview: https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-1:v1:en).

[26] Including taking account of existing guidance from EDPB and supervisory authorities and taking account of the state of the art and the costs of implementation as prescribed by Article 35(1).

 

[27] Unanimously and affirmatively acknowledged (under abstention of Bavaria) by the 92. Conference of the Independent Data Protection Authorities of the Bund and the Länder in Kühlungsborn on 9-10 November 2016.

[28] See also :

  • Commission Recommendation of 12 May 2009 on the implementation of privacy and data protection principles in applications supported by radio- frequency identification. https://ec.europa.eu/digital-single-market/en/news/commission-recommendation-12-may-2009-implementation-privacy-and-data-protection-principles
  • Opinion 9/2011 on the revised Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications.

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp180_en.pdf

[29] See also the Opinion 07/2013 on the Data Protection Impact Assessment Template for Smart Grid and Smart Metering Systems (‘DPIA Template’) prepared by Expert Group 2 of the Commission’s Smart Grid Task Force. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp209_en.pdf

[30] ISO/IEC 29134 (project), Information technology – Security techniques – Privacy impact assessment – Guidelines, International Organization for Standardization (ISO)

Fonte: Roberto Ghinolfi – ZAP DISTRIBUTION

WordPress Themes

created with

WordPress Website Builder.