Questo articolo è stato letto 507 volte

Regolamento Privacy (GDPR): valutazione di impatto prima del 25 maggio e software di supporto francese

Regolamento Privacy

di NADIA CORA’

Prima del 25 maggio, tutte le P.A. devono obbligatoriamente effettuare la  valutazione di impatto (DPIA) per i trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle  persone fisiche, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, specie allorché il trattamento preveda l’uso di nuove tecnologie.
Tenuto conto dei tempi estremamente ridotti per effettuare l’adempimento, il 27 aprile scorso il Garante ha fornito la notizia che l’Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d’impatto sulla protezione dei dati (DPIA).  Nel fornire questa notizia, il Garante ha tuttavia evidenziato, come elemento “IMPORTANTE”  da tenere presente, che il software  francese NON costituisce un modello al quale fare riferimento in OGNI SITUAZIONE di trattamento, “essendo stato concepito soprattutto come ausilio metodologico per le PMI”.
Ed, invero, la situazione  in cui  effettuano il trattamento le P.A., compresi gli Enti Locali,  è molto diversa  dalla situazione in cui effettuano i trattamenti le PMI.

Regolamento Privacy: una puntualizzazione sul software di supporto

Basti pensare  che il Codice, oltre a dettare regole valide per tutti trattamenti, contiene una specifica  disciplina particolare per i  trattamenti effettuati dalle P.A., specie per quanto concerne le  materie del trattamento di dati sensibili e giudiziari, della comunicazione e della diffusione dei dati anche in riferimento agli obblighi di trasparenza che vincolano le pubbliche amministrazioni. Si tratta di una disciplina  peculiare presidiata da numerose Linee guida tra cui  si ricordano le Linee guida sulla diffusione online di documenti e informazioni da parte delle pubbliche amministrazioni, le Linee guida sul pubblico impiego e sulla videosorveglianza,
Proprio in considerazione delle specifiche caratteristiche dei trattamenti effettuati dalle P.A., il software potrebbe costituire, secondo quanto evidenziato anche dal Garante,  un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d’impatto, che va integrata in ragione delle tipologie di trattamento esaminate.
La prudenza  nei confronti del software in esame, per quanto concerne  le P.A., si impone anche perché,  pur costituendo il software un percorso guidato alla realizzazione della DPIA, tuttavia non contiene la obbligatoria ricognizione dei trattamenti che, per le P.A. deve essere ricostruita sulla base dei procedimenti e  dei processi.
La mappatura dei procedimenti e dei processi che, si ricorda, costituisce un adempimento obbligatorio anche  nell’ambito del piano triennale di prevenzione della corruzione, costituisce elemento presupposto e indispensabile per effettuare la ricognizione dei trattamenti richiesta da nuovo GDPR.
In pratica, vanno predeterminate le tipologie di trattamenti, con la formazione dell’Indice dei trattamenti. A ciascun tipo di trattamento ricompreso nell’Indice vanno poi vanno associati i procedimenti  e processi, di competenza dell’ente, e che rientrano  in ciascuna tipologia di trattamento. Bisogna necessariamente partire dalle tipologie di  trattamenti individuate  dal Garante il 19 settembre 2005 con l’approvazione dello Schema tipo di regolamento per il trattamento dei dati sensibili e giudiziari dei Comuni. Si tratta di 35 Schede  contenenti  l’Indice dei trattamenti  di procedimenti e processi nei quali sono trattati dati sensibili e giudiziari. La prima scheda, ad esempio, si riferisce al trattamento: “Personale – Gestione del rapporto di lavoro del personale impiegato a vario titolo presso il Comune”. A tale trattamento vanno associati tutti i  procedimenti e i processi che,  con riferimento alla gestione giuridica ed economica del personale dipendente, rientrano  nel trattamento denominato  “Personale – Gestione del rapporto di lavoro del personale impiegato a vario titolo presso il Comune” come, ad esempio,  i procedimenti/processi di  gestione dei permessi sindacali, delle assenze per malattia, dei  permessi ex lege n. 104/1992,  e di altri istituti  di competenza dell’Ufficio personale.
Come in precedenza evidenziato, il software francese non include la mappatura dei procedimenti e dei processi. Non include neppure la associazione dei procedimenti e dei processi allo specifico trattamento, incluso nell’indice dei trattamenti, che a quei processi e procedimenti si riferisce.

La valutazione di impatto sulla protezione dei dati

Risulta evidente allora che, essendo la ricognizione dei trattamenti fondata sulla mappatura dei processi e dei procedimenti, sulla formazione dell’indice dei trattamenti nonché sulla loro associazione, il software che l’Autorità francese per la protezione dei dati ha messo a disposizione  potrebbe, anche per questo ulteriore motivo, costituire strumento idoneo per le PMI ma non anche per soddisfare i bisogni delle P.A. tenuto conto, oltretutto, della ristretta tempistica che le P.A. hanno a disposizione per adempiere.
Al riguardo, va sottolineato  e ricordato che la valutazione di impatto sulla protezione dei dati, per i trattamenti che possono presentare rischi elevati per i diritti e le libertà delle persone fisiche, costituisce un adempimento particolarmente complesso che deve essere obbligatoriamente effettuato entro il 25 maggio 2018, e che non vi è alcun slittamento o proroga.
In ordine alla complessità  dell’adempimento,  lo stesso Garante ha evidenziato come “è inoltre bene ricordare che la valutazione d’impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati”.
Ai  fini di  acquisire una maggiore consapevolezza e informazione in ordine all’importanza e alla complessità della valutazione di impatto sulla protezione dei dati è utile:
– consultare le SLIDES allegate
– visionare il VIDEO TUTORIAL;
entrambi predisposti dallo stesso Garante, e ai quali si rinvia per un maggiore approfondimento.

>> CONSULTA LO SPECIALE SUL NUOVO REGOLAMENTO PRIVACY.

Il Regolamento Generale sulla Protezione dei dati personali e la nomina del DPO nella Pubblica Amministrazione

Il Regolamento Generale sulla Protezione dei dati personali e la nomina del DPO nella Pubblica Amministrazione

Stefano Comellini, 2018, Maggioli Editore
Dal 25 maggio 2018 il Regolamento (UE) 2016/679 in materia di protezione dei dati personali è direttamente applicato in tutti i Paesi dell'Unione Europea.L'opera, dopo una breve panoramica delle novità più significative introdotte dal Regolamento, con una particolare attenzione agli...

50,00 € Acquista

su www.maggiolieditore.it

© RIPRODUZIONE RISERVATA

Lascia un commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *