GDPR è (anche) valutare se compiere una valutazione d'impatto

 
La valutazione d’impatto deve essere effettuata soltanto sui trattamenti che per via della loro natura, oggetto, finalità, contesto e per l’uso di determinate tecnologie, potrebbero generare un rischio elevato per i diritti e le libertà fondamentali dei soggetti interessati.

In ogni caso, dunque, bisogna valutare se occorre compiere una valutazione d'impatto.
Assessment di assessment, insomma.

Dopodiché, per ciascun trattamento o categoria di trattamento occorre procedere come da indicazioni dell'art. 29 WP raccogliendo informazioni su:
  1. natura, finalità, contesto del trattamento;
  2. categorie di dati (personali e "particolari categorie di dati") oggetto di trattamento, i soggetti interessati e il periodo di conservazione dei dati;
  3. flussi informativi (comunicazione, diffusione, cessione, trasferimento dei dati con l’indicazione specifica dei soggetti destinatari dei dati interni o esterni all’organizzazione del titolare del trattamento);
  4. descrizione funzionale delle operazioni di trattamento;
  5. modalità (cartacee e automatizzate) e strumenti delle operazioni di trattamento;
  6. autorizzazioni all'accesso dei dati, con indicazione di soggetti e finalità.
 

Commenti