Art. 39
Valutazione d’impatto sulla protezione dei dati
In vigore dal 23 ott 2018
Valutazione d’impatto sulla protezione dei dati
1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati.
3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a)
una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b)
il trattamento, su larga scala, di categorie particolari di dati personali di cui all’, o di dati relativi a condanne penali e a reati di cui all’; oppure
c)
la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
4. Il Garante europeo della protezione dei dati redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1.
5. Il Garante europeo della protezione dei dati può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati.
6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5 del presente articolo, il Garante europeo della protezione dei dati chiede che il comitato europeo per la protezione dei dati istituito dall’ del regolamento (UE) 2016/679 esamini detti elenchi conformemente all’, paragrafo 1, lettera e), dello stesso regolamento ove tali elenchi si riferiscano a trattamenti da parte di un titolare del trattamento che agisce congiuntamente a uno o più titolari del trattamento diversi dalle istituzioni e dagli organi dell’Unione.
7. La valutazione contiene almeno:
a)
una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;
b)
una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c)
una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
d)
le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
8. Nel valutare l’impatto del trattamento effettuato dai relativi responsabili diversi dalle istituzioni e dagli organi dell’Unione è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’ del regolamento (UE) 2016/679, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.
9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi pubblici o la sicurezza dei trattamenti.
10. Qualora il trattamento effettuato ai sensi dell’, paragrafo 1, lettera a) o b), trovi una base giuridica in un atto giuridico adottato sulla base dei trattati, che disciplina il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale precedente all’adozione di tale atto giuridico, i paragrafi da 1 a 6 del presente articolo non si applicano, salvo se tale atto giuridico stabilisce altrimenti.
11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.
Storico versioni
Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.
Le tue annotazioni
Proeli:reg:2018:1725:oj#art-39