DPIA
VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI
Descrizione sistematica finalità del trattamento
CISO AG è in grado di fornire alla vostra organizzazione una valutazione dettagliata dell'impatto sulla protezione dei dati (DPIA), un requisito fondamentale nell'ambito del GDPR. Forniamo un servizio di valutazione rapida che misura il profilo di rischio e gli asset vulnerabili della vostra azienda. Abbiamo una grande esperienza nell'assistere le organizzazioni nel soddisfare i requisiti dell'articolo 35 del GDPR.
In particolare, l'articolo 35 stabilisce che quando il trattamento, in particolare l'uso di nuove tecnologie, e tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, il responsabile del trattamento effettua, prima del trattamento, una valutazione dell'impatto delle operazioni di trattamento previste sulla protezione dei dati personali.
UNA VALUTAZIONE D'IMPATTO SULLA PROTEZIONE DEI DATI
In particolare, è richiesto nel caso di:
- una valutazione sistematica ed estesa di aspetti personali relativi a persone fisiche che si basa su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che producono effetti giuridici sulla persona fisica o che incidono in modo analogo e significativo sulla persona fisica;
- trattamento su larga scala di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e reati di cui all'articolo 10; oppure
- un monitoraggio sistematico di un'area accessibile al pubblico su larga scala.
COSA DOVREBBE CONTENERE LA DPIA ALMENO
Ai sensi dell'articolo 35 del GDPR:
Descrizione sistematica delle operazioni di trattamento previste
Interesse legittimo perseguito dal responsabile del trattamento (ove applicabile)
Valutazione della necessità in relazione agli scopi
Valutazione della proporzionalità in relazione agli scopi
Valutazione dei rischi per i diritti e le libertà
Misure previste per affrontare i rischi
Misure previste per dimostrare la conformità
COSA DOVREBBE CONTENERE LA DPIA ALMENO
Ai sensi dell'articolo 35 del GDPR:
Descrizione sistematica finalità del trattamento
Descrizione sistematica delle operazioni di trattamento previste
Interesse legittimo perseguito dal responsabile del trattamento (ove applicabile)
Valutazione della necessità in relazione agli scopi
Valutazione della proporzionalità in relazione agli scopi
Valutazione dei rischi per i diritti e le libertà
Misure previste per affrontare i rischi
Misure previste per dimostrare la conformità
Ai sensi dell'articolo 35, paragrafo 4, del Regolamento e a seguito del parere del Comitato europeo per la protezione dei dati (EDPB), questo Ufficio ha stabilito le seguenti operazioni di trattamento per le quali i responsabili del trattamento dovranno effettuare una valutazione d'impatto sulla protezione dei dati ("DPIA") prima del trattamento.
Per garantire la coerenza in tutta l'Unione, l'elenco dei tipi di trattamento è stato stabilito tenendo conto delle linee guida sulle DPIA adottate dal WP29 e successivamente approvate dall'EDPB.
L'elenco non è esaustivo e integra e specifica ulteriormente tali linee guida.
PANORAMICA
Monitoraggio sistematico
CRITERIO 3 DEL WP248
Trattamento dei dati personali che comporta:
- osservare, monitorare o controllare il comportamento degli interessati, in particolare nell'ambiente online;
- circostanze specifiche in cui il responsabile del trattamento è tenuto per legge a trattare i dati personali degli interessati a loro insaputa;
- operazioni relative all'utilizzo dei dati di geolocalizzazione, anche, ma non solo, a fini di marketing diretto; oppure
- monitoraggio su larga scala di spazi pubblici o aree private accessibili al pubblico.
Decisioni automatizzate
CRITERIO 2 DI WP248
Trattamento interamente o parzialmente automatizzato, compresa la profilazione, che produce effetti giuridici sugli interessati o incide in modo analogo e significativo su di essi.
Utilizzo di tecnologie innovative
CRITERI 4 E 7 DEL WP248
Qualsiasi trattamento di categorie particolari di dati personali e di dati relativi a soggetti vulnerabili, attraverso l'uso di tecnologie innovative o l'implementazione di nuovi metodi nella tecnologia esistente.
Categorie particolari di dati
CRITERIO 4 DEL WP248
Trattamento su larga scala di categorie particolari di dati, tra cui i dati personali relativi a condanne penali e reati.
Dati biometrici
CRITERI 4, 3 E 7 DEL WP248
Qualsiasi attività di trattamento che coinvolga dati biometrici allo scopo di identificare in modo univoco gli interessati:
- quando gli interessati si trovano in uno spazio pubblico o in un'area privata accessibile al pubblico;
- quando i dati biometrici sono trattati insieme a dati personali relativi a condanne penali e reati;
- quando i dati biometrici riguardano persone che necessitano di un'elevata protezione, come minori, dipendenti, pazienti, malati mentali e richiedenti asilo.
Dati genetici
CRITERI 4 E 6 DEL WP248
Qualsiasi trattamento di dati genetici, diversi da quelli trattati da un singolo operatore sanitario quando fornisce un servizio correlato direttamente all'interessato, allo scopo di abbinare o combinare insiemi di dati in modo tale da superare la ragionevole aspettativa dell'interessato.
Dati relativi a persone vulnerabili
CRITERIO 7 DEL WP248
Trattamento dei dati personali di persone fisiche vulnerabili, in particolare di bambini, dipendenti e persone che ricevono qualsiasi forma di assistenza sociale.
Monitoraggio dei dipendenti
CRITERI 1 E 7 DEL WP248
Trattamento dei dati personali ai fini della valutazione o dell'attribuzione di punteggi relativi alle prestazioni lavorative del dipendente, o quando il trattamento aumenta lo squilibrio di potere tra gli interessati e il titolare del trattamento, in particolare, quando i dipendenti potrebbero non essere in grado di acconsentire o opporsi facilmente al trattamento dei loro dati o di esercitare i loro diritti.
