VIP: Valutazione d'Impatto Privacy

VIP: Valutazione d'Impatto Privacy

News Divisione Privacy CASTGroup

Con il Regolamento europeo l'acronimo VIP non sarà più esclusivamente riferito alle parole Very Important Person ma, riguarderà anche la prescrizione dell'art 35 679/2016, ovvero la Valutazione d'Impatto Privacy.

Sarà sempre necessaria quando sussiste un rischio elevato e, ancora, nei casi codificati dall'art. 35 e se il trattamento rientra nella casistica delineata dal WP29 (clicca qui per consultarla) con applicazione della regola del "2" – se un'operazione di trattamento riguarda meno di due criteri su dieci è possibile non effettuare una VIP, mentre operazioni di trattamento che tocchino almeno due dei medesimi criteri richiedono una VIP -.

La differenza sostanziale rispetto al Codice è che il GDPR implica una "autocertificazione" del Titolare (o del Responsabile) in merito ad un trattamento rischioso e che comporta una responsabilizzazione del medesimo Titolare.

Infatti, non sarà più possibile chiamare in causa l'autorità Garante attraverso un'istanza di autorizzazione, tutt' al più ci si potrà rivolgere all'organo di controllo per chiedere come gestire un rischio residuale non mitigabile con le conoscenze tecniche e organizzative del Titolare.

Ricordiamo che la violazione dell'art. 35 è sanzionata con la pena pecuniaria fino a 10 milioni di euro oppure, per le imprese, fino al 2% del fatturato totale annuo dell'esercizio precedente. Stabilita la necessità di domandarsi se e quali trattamenti necessitano di una VIP occorre guardare oltre e capire come effettuarla.

Alcune chiare indicazioni sul metodo sono fornite sempre dal WP29:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati;
  4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Il WP29, inoltre, individua come buona pratica, l'aggiornamento periodico della VIP almeno ogni tre anni e comunque anche prima, a seconda della natura del trattamento e dello sviluppo evolutivo delle modalità di trattamento.

La verifica almeno triennale è individuata come buona prassi anche per i trattamento a cavallo del 25 maggio 2018, perciò meglio iniziare sin da ora a porci qualche domanda in più sui trattamenti di dati personali in corso…….e futuri.

Pubblicata Dal 25/08/2017 visualizza allegato