Torna alla pagina principale degli orientamenti sulla protezione dei dati per gli organizzatori
Orientamenti sulla protezione dei dati - Domanda 6
Quando e come effettuare una valutazione d'impatto sulla protezione dei dati?
Vale per lo scenario 2, tranne per quanto riguarda l'uso del servizio di scambio file della Commissione
Il rappresentante è tenuto ad effettuare una valutazione d'impatto sulla protezione dei dati (DPIA) ogniqualvolta il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Tra l'altro, è necessario in particolare in caso di trattamento di dati sensibili su larga scala.
Il comitato europeo per la protezione dei dati (EDPB) ha elaborato una serie di linee guida in materia di valutazione d'impatto sulla protezione dei dati (DPIA). Occorre inoltre verificare se l'autorità nazionale preposta alla protezione dei dati abbia emanato ulteriori indicazioni su quando e come condurre le valutazioni d'impatto.
La valutazione d'impatto andrebbe condotta prima del trattamento e considerata uno strumento dinamico e non un semplice esercizio una tantum. Qualora vi siano rischi residui che non possono essere attenuati dalle misure adottate, l'autorità nazionale competente va consultata prima di avviare il trattamento.
ATTENZIONE:
non è necessario effettuare una valutazione d'impatto sulla protezione dei dati in caso di contitolarità con la Commissione, poiché tale trattamento rientra già nella valutazione d'impatto condotta dalla Commissione (vedere lo scenario 1).
Riferimenti:
- articolo 35 del GDPR
- articolo 36 dell'EUDPR
- Comitato europeo per la protezione dei dati - Linee guida in materia di valutazione d'impatto sulla protezione dei dati