Trattamenti da sottoporre a valutazione d'impatto - l'elenco del Garante

 
Il Garante ha pubblicato in G.U. l'elenco dei trattamenti da sottoporre a valutazione d'impatto, ai sensi dell'art. 35.4 GDPR per cui
L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.
L'EDPB aveva riscontrato l'elenco dei trattamenti fornendo l'opinion n. 12/2018 il 25 settembre e evidenziando, fra i cambiamenti da apportare, la necessità di riferire tali tipologie di trattamento alle Linee Guida dell'Art.29WP (WP248).

L'elenco riguarda un ambito piuttosto ampio di trattamenti, applicando in modo restrittivo le raccomandazioni delle citate linee guida che, al riscontro di almeno 2 su 9 dei criteri di rischio, indicavano la soglia minima del "rischio elevato" fonte dell'obbligo dello svolgimento di una valutazione d'impatto.

Alcuni commentatori indicano come tale elenco sia comunque subordinato ad una valutazione di rischio di cui all'art. 35.1 GDPR, ma in tal caso andrebbe fornita una prova diabolica di tipo negativo (ovverosia: l'assenza di rischio elevato).

Piuttosto, qualora non si riscontrino particolari rischi, sarà preferibile scegliere una valutazione d'impatto maggiormente sintetica ma che assolva comunque i requisiti di contenuto dell'art. 35.7 GDPR.


Essere GDPReady è...valutare quale valutazione d'impatto svolgere.

Commenti