GDPReady @Randstad Padova

 Ho concluso la scorsa settimana un ciclo di lezioni formative per i ragazzi del progetto NEETwork Digital 360, in cui abbiamo affrontato alcuni temi d'interesse per il Data Protection Specialist in materia di sicurezza dei dati, norme in materia di protezione dei dati personali e predisposizione di procedure operative.

Fra gli argomenti di maggiore interesse ed approfondimento ci sono state esercitazioni sullo svolgimento di una valutazione d'impatto sulla protezione dei dati personali secondo i criteri definiti dall'art. 35 GDPR e le Linee Guida del Comitato Europeo per la protezione dei dati, soprattutto per l'individuazione dei criteri di identificazione del "rischio elevato" dei trattamenti.

Come esercizio, la classe ha sviluppato un'interessante checklist/promemoria per il riscontro dei criteri, che pubblico di seguito perché possa essere uno spunto utile per tutti.

Valutazione o assegnazione di un punteggio.
Che tipo di dati vengono raccolti?
Gli interessati sono divisi per categorie? Se si, di che tipo?
Gli interessati sono classificati/valutati? Se si, secondo quali criteri?

Processo decisionale automatizzato incisivo
Come sono raccolti e trattati i dati?
Chi si occupa delle operazioni di raccolta ed elaborazione dei dati?
L’informativa indica un processo decisionale automatizzato? Se si, di che tipo?

Monitoraggio sistematico
Il trattamento consiste in un’attività di monitoraggio/controllo dei dati?
Il controllo dei dati avviene come parte di una strategia e/o di operazioni complesse? Se si, con quali modalità e periodicità?
Gli interessati soggetti al monitoraggio/controllo sono stati informati di tale attività? Se si, in che modo?
Quali dati sono monitorati e in che modo?

Dati sensibili o dati di carattere personale
Sono trattati dati di carattere altamente personale (quali, ad es: categorie particolari di dati – stato di salute, origine razziale, etc… nonché dati relativi a condanne penali e reati)?
I dati trattati sono di dominio pubblico? Se si, indicare il database.
I dati trattati, se diffusi, possono produrre un danno materiale o immateriale per gli interessati?

Trattamento su larga scala
Numero di soggetti sottoposti (attualmente e potenzialmente) a trattamento/raccolta dei dati.
Dimensione geografica dell’attività di trattamento (comunale, regionale, macroregionale etc…).
La provenienza dei dati è circoscritta ad una categoria particolare di interessati? Se si, quale?

Creazione di corrispondenze o combinazioni
I dati trattati provengono da più archivi/database? Se si, di che tipo?
Esistono altri soggetti che decidono sulle attività di trattamento? Se si, in che modalità?
Esistono finalità diverse ed ulteriori del trattamento rispetto a quanto dichiarato nell’informativa? Se si, quali?

Interessati vulnerabili
Quali sono le categorie degli interessati?
Sono raccolti dati di minori? Se si, secondo quali modalità?
L’informativa è stata redatta per particolari categorie di interessati (es. minoranze linguistiche, minori, anziani etc…)?

Uso innovativo di tecnologie o applicazione di nuove soluzioni organizzative o tecnologiche
Il trattamento richiama una DPIA già svolta o un’autorizzazione del Garante? Se si, quale?
Sono utilizzate soluzioni dell’Industry 4.0? Se si, quali?

Trattamento che impedisce l’esercizio di un diritto.
Il trattamento può impedire l’adesione o l’esecuzione di un contratto? Se si, in che modo?
Il trattamento può impedire l’accesso ad un servizio per l’interessato? Se si, in che modo?
Il trattamento può modificare l’utilizzo di un servizio per l’interessato? Se si, in che modo?

Che dire? Ogni buon Data Protection Specialist è...GDPReady!

Commenti