DELIBERA 30 ottobre 2018: whistleblowing

AUTORITA’ NAZIONALE ANTICORRUZIONE

DELIBERA 30 ottobre 2018

Regolamento sull’esercizio del potere sanzionatorio in materia di tutela degli autori di segnalazioni di reati o irregolarita’ di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro di cui all’art. 54-bis del decreto legislativo n. 165/2001 (c.d. whistleblowing). (Delibera n. 1033). (18A07363) (GU Serie Generale n.269 del 19-11-2018)

 

In Gazzetta Ufficiale la DELIBERA 30 ottobre 2018 dell’Autorità Nazionale Anticorruzione in materia di whistleblowing.

AUTORITA’ NAZIONALE ANTICORRUZIONE
DELIBERA 30 ottobre 2018

Regolamento sull’esercizio del potere sanzionatorio in materia di
tutela degli autori di segnalazioni di reati o irregolarita’ di cui
siano venuti a conoscenza nell’ambito di un rapporto di lavoro di cui
all’art. 54-bis del decreto legislativo n. 165/2001 (c.d.
whistleblowing). (Delibera n. 1033). (18A07363)
(GU n.269 del 19-11-2018)

Capo I
Disposizioni generali

IL CONSIGLIO DELL’AUTORITA’
NAZIONALE ANTICORRUZIONE

Visto l’art. 13 del decreto legislativo 27 ottobre 2009, n. 150,
come modificato dal decreto legislativo 25 maggio 2017, n. 74;
Vista la legge 6 novembre 2012, n. 190, e successive modificazioni
ed integrazioni;
Visti gli articoli 19, comma 5, e 31 del decreto-legge 24 giugno
2014, n. 90, convertito con modificazioni dalla legge 11 agosto 2014,
n. 114;
Visto l’art. 54-bis del decreto legislativo 30 marzo 2001, n. 165,
come modificato dall’art. 1 della legge 30 novembre 2017, n. 179 e,
in particolare, il comma 6;
Vista la legge 24 novembre 1981, n. 689;
Visto l’art. 34-bis del decreto-legge 18 ottobre 2012, n. 179,
convertito in legge 17 dicembre 2012, n. 221, come modificato dal
decreto-legge 31 agosto 2013, n. 101, convertito con modificazioni
dalla legge 30 ottobre 2013, n. 125;
Visto il «Regolamento concernente l’accesso ai documenti formati o
detenuti dall’Autorita’ ai sensi della legge 7 agosto 1990, n. 241»;
Visto il decreto del Presidente del Consiglio dei ministri 1°
febbraio 2016 con il quale e’ stato approvato il Piano di riordino
dell’Autorita’ nazionale anticorruzione;
Visti il «Regolamento sull’esercizio dell’attivita’ di vigilanza in
materia di contratti pubblici», il «Regolamento sull’esercizio
dell’attivita’ di vigilanza in materia di prevenzione della
corruzione», il «Regolamento sull’esercizio dell’attivita’ di
vigilanza sul rispetto degli obblighi di pubblicazione di cui al
decreto legislativo 14 marzo 2013, n. 33», il «Regolamento
sull’esercizio dell’attivita’ di vigilanza in materia di
inconferibilita’ e incompatibilita’ di incarichi nonche’ sul rispetto
delle regole di comportamento dei pubblici funzionari»;
Vista la «Direttiva annuale sullo svolgimento della funzione di
vigilanza» dell’Autorita’;
Viste le «Linee guida in materia di tutela del dipendente pubblico
che segnala illeciti (c.d. whistleblower)» dell’Autorita’;
Vista la delibera n. 1196 del 23 novembre 2016 recante il
«Riassetto organizzativo dell’Autorita’ nazionale anticorruzione a
seguito dell’approvazione del Piano di riordino e delle nuove
funzioni attribuite in materia di contratti pubblici e di prevenzione
della corruzione e della trasparenza, e individuazione dei centri di
responsabilita’ in base alla missione istituzionale dell’Autorita’»,
come modificata dalla delibera n. 1 del 10 gennaio 2018;
Tenuto conto della procedura di consultazione pubblica terminata il
30 settembre 2018;

E m a n a

il seguente regolamento:

Art. 1 – Definizioni

Ai fini del presente regolamento, si intende per:

a) «art. 54-bis», l’art. 54-bis del decreto legislativo 30 marzo
2001, n. 165, come modificato dall’art. 1 della legge 30 novembre
2017, n. 179;

b) «Autorita’», l’Autorita’ nazionale anticorruzione;

c) «Presidente», il Presidente dell’Autorita’;

d) «Consiglio», il Consiglio dell’Autorita’;

e) «ufficio», l’Ufficio per la vigilanza sulle segnalazioni
pervenute all’Autorita’, ai sensi dell’art. 54-bis, competente per il
procedimento sanzionatorio di cui al presente regolamento;

f) «dirigente», il dirigente dell’ufficio;

g) «responsabile della prevenzione della corruzione e della
trasparenza (RPCT)», il soggetto individuato ai sensi dell’art. 1,
comma 7, della legge 6 novembre 2012, n. 190, come modificato
dall’art. 41 del decreto legislativo 25 maggio 2016, n. 97;

h) «comunicazione», la comunicazione di violazioni di cui al
comma 6, primo periodo, dell’art. 54-bis fatta in ogni caso
all’Autorita’, ai sensi del comma 1, penultimo periodo, dell’art.
54-bis, da parte dell’interessato o delle organizzazioni sindacali
maggiormente rappresentative nell’amministrazione nella quale si
ritiene siano state commesse tali violazioni;

i) «segnalazione», la segnalazione di violazioni di cui al comma
6, secondo e terzo periodo, dell’art. 54-bis all’Autorita’, da parte
dei soggetti di cui al comma 2, dell’art. 54-bis;

j) «misure discriminatorie», tutte le misure individuate all’art.
54-bis, comma 1, primo periodo, adottate in conseguenza della
segnalazione di reati o irregolarita’ di cui allo stesso comma 1,
aventi effetti negativi, diretti o indiretti, sulle condizioni di
lavoro del segnalante come definito al comma 2, dell’art. 54-bis;

k) «sanzioni», le sanzioni amministrative pecuniarie individuate
nel loro ammontare minimo e massimo dall’art. 54-bis, comma 6.

Art. 2 – Oggetto

1. Il presente regolamento, adottato nell’ambito del potere
regolamentare riconosciuto all’Autorita’, disciplina il procedimento
per l’irrogazione delle sanzioni amministrative pecuniarie di cui
all’art. 54-bis, comma 6.

Art. 3 – Attivita’ sanzionatoria d’ufficio, su comunicazione e su segnalazione

1. L’Autorita’ esercita il potere sanzionatorio:

a) d’ufficio, qualora accerti una o piu’ delle violazioni di cui
all’art. 54-bis, comma 6, nell’ambito di attivita’ espletate secondo
la direttiva annuale sullo svolgimento della funzione di vigilanza
dell’Autorita’;

b) su comunicazione di cui all’art. 1, comma 1, lettera h);

c) su segnalazione di cui all’art. 1, comma 1, lettera i).

2. Le comunicazioni e le segnalazioni sono presentate, di norma,
attraverso il modulo della piattaforma informatica disponibile sul
sito istituzionale dell’Autorita’, che utilizza strumenti di
crittografia e garantisce la riservatezza dell’identita’ del
segnalante e del contenuto della segnalazione nonche’ della relativa
documentazione.

Art. 4 – Responsabile del procedimento

1. Responsabile del procedimento sanzionatorio e’ il dirigente.

2. Il responsabile del procedimento, esaminate le comunicazioni e
le segnalazioni e attribuito alle stesse l’ordine di priorita’ di cui
all’art. 5, puo’ individuare uno o piu’ funzionari cui affidare lo
svolgimento dell’istruttoria.

Art. 5 – Ordine di priorita’ delle comunicazioni e delle segnalazioni

1. Le comunicazioni e le segnalazioni sono trattate secondo il
seguente ordine di priorita’:

a) nei casi di cui al comma 6, primo periodo, art. 54-bis, si ha
riguardo alla gravita’ delle misure discriminatorie e all’eventuale
danno alla salute nonche’ alla reiterata adozione di misure
discriminatorie e alla adozione di piu’ misure discriminatorie
oltreche’ alla partecipazione di diversi soggetti all’adozione di
misure discriminatorie;

b) nei casi di cui al comma 6, secondo periodo, art. 54-bis, si
ha riguardo all’assenza di procedure per l’inoltro e la gestione
delle segnalazioni nonche’ all’adozione di procedure non conformi
alle linee guida dell’Autorita’, in particolare, riguardo alla
promozione, ai sensi dell’art 54-bis, comma 5, ultimo periodo, del
ricorso a strumenti di crittografia per garantire la riservatezza
dell’identita’ del segnalante e del contenuto della segnalazione
nonche’ della relativa documentazione;

c) nei casi di cui al comma 6, terzo periodo, art. 54-bis, si ha
riguardo alla gravita’ degli illeciti segnalati al RPCT, all’ampiezza
dell’intervallo temporale della inerzia del RPCT e al numero degli
illeciti segnalati al RPCT.

Art. 6 – Provvedimenti conclusivi del procedimento

1. Il procedimento si conclude con l’adozione di uno o piu’ dei
seguenti provvedimenti:

a) di archiviazione, qualora sia stata riscontrata l’assenza dei
presupposti di fatto o di diritto per la comminazione della sanzione
amministrativa pecuniaria;

b) di irrogazione della sanzione amministrativa pecuniaria tra il
minimo ed il massimo edittale, tenuto conto del criterio della
dimensione dell’amministrazione o dell’ente cui si riferisce la
comunicazione o la segnalazione di cui all’art. 54-bis, comma 6 e dei
criteri di cui all’art. 11 della legge n. 689/1981.

Capo II
Procedimento sanzionatorio

Art. 7 – Avvio del procedimento

1. La comunicazione di avvio del procedimento e’ effettuata dal
responsabile del procedimento mediante lettera di contestazione degli
addebiti.

2. La comunicazione e’ inviata ai soggetti destinatari del
provvedimento finale.

3. Nella comunicazione di avvio di cui al comma 1 sono indicati:

a) l’oggetto del procedimento;

b) la contestazione della violazione, con l’indicazione delle
disposizioni violate, delle relative norme sanzionatorie e delle
sanzioni comminabili all’esito del procedimento, nonche’ la menzione
della possibilita’ di effettuare, entro sessanta giorni, il pagamento
della sanzione in misura ridotta, ai sensi dell’art. 16 della legge
n. 689/1981, indicandone le modalita’;

c) il responsabile del procedimento;

d) l’ufficio presso cui si puo’ accedere agli atti;

e) la facolta’ di presentare eventuali memorie, deduzioni scritte
e documenti nonche’ la richiesta di audizione presso l’ufficio e il
termine entro cui possono essere presentati;

f) la facolta’ per i soggetti che abbiano esercitato una delle
facolta’ di cui alla lettera precedente di richiedere l’audizione al
Consiglio e il termine entro cui essa puo’ essere richiesta;

g) la casella di posta elettronica certificata (PEC), presso la
quale effettuare le comunicazioni relative al procedimento, e
l’invito a comunicare, con il primo atto utile, l’eventuale altra
PEC, presso la quale il soggetto interessato intende ricevere le
comunicazioni e le notificazioni relative al procedimento;

h) il termine di conclusione del procedimento.

4. Il termine per la comunicazione di avvio del procedimento,
decorrente dall’acquisizione della notizia della violazione di cui
all’art. 54-bis, comma 6, o della comunicazione o della segnalazione,
e’, salve specifiche esigenze del procedimento, di novanta giorni.

5. Il termine di cui al precedente comma puo’ essere prorogato in
presenza di particolari e motivate esigenze istruttorie, anche in
caso di estensione soggettiva od oggettiva del procedimento. Il
responsabile del procedimento comunica la proroga ai soggetti di cui
al comma 2 e ne informa i soggetti di cui al comma 8.

6. In ragione di un rilevante numero di destinatari la
comunicazione personale di cui al comma 2 puo’ essere sostituita da
modalita’ di volta in volta stabilite dall’Autorita’, nel rispetto
della vigente normativa in materia di protezione dei dati personali.

7. Il responsabile del procedimento invia al Consiglio, con cadenza
bimestrale, l’elenco dei procedimenti avviati ai sensi del presente
articolo.

8. Il responsabile del procedimento informa dell’avvio del
procedimento sanzionatorio i soggetti che hanno effettuato le
comunicazioni o le segnalazioni.

Art. 8 – Istruttoria

1. L’Ufficio, ricevute le deduzioni e i documenti dei soggetti cui
e’ stato comunicato l’avvio del procedimento, o scaduto il termine
per la loro presentazione, procede all’esame degli atti del
procedimento sanzionatorio.

2. Il responsabile del procedimento puo’ richiedere ulteriori
informazioni, chiarimenti, atti e documenti ai soggetti cui e’ stato
comunicato l’avvio del procedimento, anche avvalendosi dell’ufficio
ispettivo dell’Autorita’, della Guardia di finanza, ovvero
dell’Ispettorato per la funzione pubblica del Dipartimento della
funzione pubblica della Presidenza del Consiglio dei ministri.

3. Le richieste di cui al precedente comma sono formulate per
iscritto e indicano:

a) i fatti e le circostanze in ordine ai quali si effettuano tali
richieste;
b) il termine per l’adempimento che, tenuto conto dell’urgenza,
della quantita’ e qualita’ delle informazioni e dei documenti
richiesti, e’ non inferiore a dieci giorni e non superiore a trenta
giorni.

4. I documenti di cui e’ richiesta l’esibizione sono forniti,
preferibilmente, su supporto informatico, con allegata dichiarazione
di conformita’ all’originale. In alternativa, possono essere forniti
in originale o copia conforme.

5. Le richieste di informazioni e di esibizione di documenti
possono essere formulate anche oralmente nel corso di audizioni o
ispezioni, rendendole note all’interessato e verbalizzando le
medesime.

6. Il responsabile del procedimento, ove ritenuto necessario, puo’
convocare in audizione, anche su loro richiesta, i soggetti che hanno
effettuato le comunicazioni o le segnalazioni.

7. I soggetti cui e’ stata data comunicazione di avvio del
procedimento esercitano il proprio diritto di difesa, in merito agli
addebiti contestati nella fase istruttoria, mediante:
a) presentazione di memorie, deduzioni scritte e documenti;
b) accesso agli atti;
c) audizione innanzi all’ufficio.

8. Le memorie, le deduzioni scritte e i documenti sono inviati
all’ufficio entro il termine di trenta giorni dalla notifica della
lettera di contestazione degli addebiti. Tale termine puo’ essere
prorogato, per una sola volta e per un periodo non superiore a trenta
giorni, a seguito di motivata richiesta dei soggetti interessati.

9. L’accesso agli atti del procedimento avviene mediante istanza
all’ufficio nel rispetto delle modalita’ e dei termini previsti dal
«Regolamento concernente l’accesso ai documenti formati o detenuti
dall’Autorita’ ai sensi della legge 7 agosto 1990, n. 241». Sono
sottratte all’accesso le comunicazioni e le segnalazioni, ai sensi
dell’art. 54-bis, comma 4.

10. L’audizione puo’ essere richiesta entro il termine di dieci
giorni dalla data di ricezione della comunicazione di avvio del
procedimento. Tale richiesta contiene l’oggetto e la descrizione
sintetica, ancorche’ precisa, chiara e puntuale, della esposizione
orale nonche’ le ragioni per le quali sia ritenuta necessaria. Ove
accolta, il responsabile del procedimento comunica agli istanti la
data e il luogo in cui sara’ svolta l’audizione. Tale data, anche a
fronte di istanze di differimento reiterate, puo’ essere differita,
su richiesta motivata, per un periodo comunque non superiore a trenta
giorni.

11. Nel corso delle audizioni i soggetti convocati possono farsi
assistere dal proprio legale di fiducia.

12. Delle audizioni e’ redatto processo verbale, contenente le
principali dichiarazioni delle parti, sottoscritto dai soggetti
partecipanti. Del processo verbale e’ consegnata copia ai soggetti
partecipanti che ne facciano richiesta. Ai soli fini di supporto per
la verbalizzazione, puo’ essere disposta, a cura dell’Autorita’, la
registrazione magnetica e/o informatica delle audizioni.

Art. 9 – Conclusione del procedimento

1. Al termine dell’istruttoria, qualora non ricorrano i presupposti
per l’archiviazione, ai sensi dell’art. 6, comma 1, lettera a),
l’ufficio, entro centottanta giorni dalla data di avvio del
procedimento, comunica all’interessato che intende proporre al
Consiglio l’adozione del provvedimento sanzionatorio.

2. L’interessato, entro dieci giorni dalla comunicazione di cui al
precedente comma, puo’ presentare ulteriori memorie difensive, ovvero
chiedere l’audizione in Consiglio, in presenza di circostanze e fatti
nuovi rispetto a quanto accertato in sede istruttoria. La richiesta
di audizione puo’ essere accolta con disposizione del Presidente. Si
applica il comma 11 e, nelle parti compatibili, il comma 10 dell’art.
8.

3. Il Consiglio, tenuto conto delle memorie presentate e delle
risultanze dell’eventuale audizione, adotta il provvedimento
conclusivo.

4. Il provvedimento sanzionatorio indica gli elementi di fatto e di
diritto su cui si fonda la decisione, il termine per ricorrere e
l’autorita’ cui proporre ricorso nonche’ le modalita’ e il termine
entro il quale effettuare il pagamento della sanzione. Il
provvedimento viene notificato al responsabile dell’infrazione
contestata.

5. Nel caso di mancato pagamento della sanzione nel termine
indicato nel provvedimento sanzionatorio, l’ufficio competente
provvede all’iscrizione a ruolo delle somme dovute.

6. Il provvedimento di archiviazione indica gli elementi di fatto e
di diritto su cui si fonda la decisione. Il provvedimento viene
comunicato ai soggetti di cui al comma 2 dell’art. 7.

7. Il responsabile del procedimento comunica gli esiti del
procedimento ai soggetti che hanno effettuato la comunicazione o la
segnalazione.

Art. 10 – Procedimento sanzionatorio semplificato

1. Il procedimento e’ svolto in forma semplificata nei casi in cui:

a) nell’espletamento dell’attivita’ di vigilanza dell’Autorita’
venga riscontrata la mancanza delle procedure di ricezione e/o
gestione delle segnalazioni di cui all’art. 54-bis;
b) la segnalazione della mancanza delle procedure di ricezione
e/o gestione delle segnalazioni di cui all’art. 54-bis, e’ ritenuta
ragionevolmente fondata a seguito dello svolgimento dell’attivita’
preistruttoria dell’ufficio.

2. Nei casi di cui al comma 1, la comunicazione di avvio del
procedimento di cui all’art. 7, comma 1, contiene, altresi’, i
presupposti di fatto e le ragioni di diritto in relazione agli esiti
delle attivita’ svolte dall’Autorita’ che depongono per l’irrogazione
della sanzione.

3. Il presente procedimento e’ disciplinato dalle disposizioni dei
Capi I e III, e, ad esclusione delle disposizioni di cui ai commi 1 –
4, dell’art. 9 e delle disposizioni inerenti alla facolta’ di
richiedere audizione all’ufficio o al Consiglio, del Capo II.

4. Il dirigente, entro quarantacinque giorni, decorrenti dalla data
di ricevimento delle deduzioni e dei documenti da parte dei soggetti
cui e’ stata notificata la lettera di contestazione degli addebiti
ovvero scaduto il termine per la loro presentazione, trasmette al
Consiglio la proposta di adozione del provvedimento conclusivo.

5. Il Consiglio, tenuto conto delle eventuali memorie prodotte,
adotta il provvedimento conclusivo.

Art. 11 – Pubblicazione del provvedimento

1. Il provvedimento sanzionatorio e’ pubblicato sul sito
istituzionale dell’Autorita’ nella sezione dedicata alle segnalazioni
di cui all’art. 54-bis dopo la notizia dell’avvenuta notificazione al
soggetto interessato ovvero, nel caso di piu’ soggetti, dopo la
notizia dell’avvenuta ultima notificazione.

2. Il Consiglio puo’ altresi’ disporre la pubblicazione sul sito
istituzionale dell’amministrazione o dell’ente.

3. Il Consiglio, al fine di tutelare la riservatezza dell’identita’
del segnalante, puo’ disporre la pubblicazione del provvedimento in
forma anche parzialmente anonima ovvero l’esclusione della
pubblicazione.

Art. 12 – Comunicazioni relative al procedimento

1. Le comunicazioni e le notificazioni previste dal presente
regolamento sono effettuate secondo le seguenti modalita’:

a) mediante la piattaforma informatica di cui all’art. 3, comma
2;
b) mediante casella di posta elettronica certificata (PEC)
indicata all’Autorita’;
c) nelle altre forme previste dall’ordinamento vigente.

Capo III
Disposizioni finali

Art. 13 – Disposizioni relative ai procedimenti di vigilanza attivati sulla
base di una segnalazione di reati o irregolarita’ ai sensi dell’art. 54-bis

1. Nel caso di segnalazione di illeciti, ai sensi dell’art. 54-bis,
i procedimenti di vigilanza in materia di contratti pubblici di
lavori, servizi e forniture, di anticorruzione, di trasparenza e di
imparzialita’ dei funzionari pubblici sono affidati all’ufficio, che
svolge le attivita’ istruttorie, ai sensi dei rispettivi regolamenti
di vigilanza e delle linee guida adottate dall’Autorita’ in materia,
nel rispetto della tutela della riservatezza dell’identita’ del
segnalante come previsto dall’art. 54-bis, con la collaborazione
degli uffici di vigilanza interessati per materia. Il dirigente
informa il Consiglio dei casi nei quali richiede la collaborazione
degli uffici di vigilanza suddetti.

2. In casi di particolare complessita’, su richiesta del dirigente,
il Consiglio puo’ autorizzare la proroga dei termini previsti per il
compimento degli atti del procedimento di vigilanza.
3. I provvedimenti conclusivi dei procedimenti di cui al presente
articolo sono adottati dal Consiglio, su congiunta proposta del
dirigente e del dirigente dell’ufficio di vigilanza interessato.

Art. 14 – Entrata in vigore

1. Il presente regolamento entra in vigore il quindicesimo giorno
successivo alla pubblicazione nella Gazzetta ufficiale. Esso si
applica ai procedimenti sanzionatori avviati successivamente alla sua
entrata in vigore.

Approvato dal Consiglio dell’Autorita’ con delibera n. 1033
nell’adunanza del 30 ottobre 2018.

Roma, 30 ottobre 2018

Il Presidente: Cantone

 

Scarica la DELIBERA 30 ottobre 2018 completa: DELIBERA 30 OTTOBRE 2018 – ANTICORRUZIONE

Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati

gazzetta ufficiale privacy

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERA 11 ottobre 2018 Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 35, comma 4, del regolamento (UE) n. 2016/679. (Delibera n. 467). (18A07359)

E’ stata pubblicata sulla Gazzetta Ufficiale del 19 novembre 2018 la DELIBERA 11 ottobre 2018 riportante l’Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 35, comma 4, del regolamento (UE) n. 2016/679.

Di seguito il testo della delibera della Delibera.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 
 
  Nella riunione odierna,  in  presenza  del  dott.  Antonello  Soro, presidente, della dott.ssa Augusta Iannini,  vice  presidente,  della dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano, componenti, e del dott. Giuseppe Busia, segretario generale; 
  Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e  del Consiglio del 27 aprile 2016, relativo alla protezione delle  persone fisiche con riguardo al trattamento dei dati personali, nonche'  alla libera circolazione di tali dati e che abroga la  direttiva  95/46/CE (regolamento generale sulla protezione dei dati, di seguito «RGPD»); 
  Visto, in specie, l'art. 35, paragrafo 1, del RGPD, che  stabilisce l'obbligo per  il  titolare  di  effettuare,  prima  dell'inizio  del trattamento, una valutazione dell'impatto del  trattamento  medesimo, laddove quest'ultimo  possa  presentare  un  rischio  elevato  per  i diritti e le liberta' delle persone fisiche, «allorche' preved[a]  in particolare  l'uso  di  nuove  tecnologie,  considerati  la   natura, l'oggetto, il contesto e le finalita' [...]»; 
  Visto il paragrafo 3 del medesimo articolo,  che  individua  alcune ipotesi in cui e' richiesta la valutazione d'impatto; 
  Visto il paragrafo 10 del predetto art. 35, che individua invece le ipotesi in cui tale valutazione  non  e'  richiesta,  in  particolare «qualora il trattamento effettuato ai sensi dell'art. 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o  nel  diritto  dello Stato membro cui il titolare del trattamento  e'  soggetto  una  base giuridica,  tale  diritto  disciplini  il  trattamento  specifico   o l'insieme di trattamenti in questione, e sia  gia'  stata  effettuata una valutazione d'impatto sulla protezione dei  dati  nell'ambito  di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica [...], salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima  di  procedere  alle  attivita'  di trattamento»; 
  Considerato che l'art. 35, paragrafo 4, rimette alle  autorita'  di controllo nazionali il compito di  redigere  e  rendere  pubblico  un elenco delle tipologie di trattamenti soggetti al  requisito  di  una valutazione d'impatto e di comunicarlo al  Comitato  europeo  per  la protezione dei dati di cui all'art. 68 del RGPD; 
  Considerato che il  paragrafo  6  del  citato  art.  35  stabilisce l'applicazione del meccanismo di coerenza  di  cui  all'art.  63  del RGPD, da parte  della  singola  autorita'  di  controllo  competente, qualora l'elenco  comprenda  «attivita'  di  trattamento  finalizzate all'offerta di beni o servizi a interessati  o  al  monitoraggio  del loro comportamento in piu' stati membri, o attivita'  di  trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione»; 
  Viste le indicazioni contenute nei «considerando» numeri 71,  75  e 91 del RGPD; 
  Viste le «Linee guida in materia  di  valutazione  d'impatto  sulla protezione dei  dati  e  determinazione  della  possibilita'  che  il trattamento  "possa  presentare  un  rischio  elevato"  ai  fini  del regolamento (UE) n. 2016/679» del Gruppo di lavoro  art.  29  per  la protezione dei dati del 4 aprile 2017, come modificate e adottate  da ultimo il 4 ottobre 2017 e fatte proprie dal Comitato europeo per  la protezione dei dati il 25 maggio 2018 (di seguito «WP 248, rev. 01»), che  hanno  individuato  i  seguenti  nove  criteri  da   tenere   in considerazione  ai  fini  dell'identificazione  dei  trattamenti  che possono  presentare  un   «rischio   elevato»:   1)   valutazione   o assegnazione di un punteggio, inclusiva di profilazione e previsione, in  particolare  in  considerazione  di   «aspetti   riguardanti   il rendimento professionale, la  situazione  economica,  la  salute,  le preferenze  o  gli  interessi   personali,   l'affidabilita'   o   il comportamento, l'ubicazione o gli spostamenti  dell'interessato»;  2) processo decisionale automatizzato che ha effetto giuridico o  incide in modo analogo significativamente  sulle  persone;  3)  monitoraggio sistematico degli  interessati;  4)  dati  sensibili  o  dati  aventi carattere altamente personale; 5) trattamento di dati su larga scala;
6) creazione di corrispondenze o combinazione di insiemi di dati;  7) dati  relativi  a  interessati  vulnerabili;  8)  uso  innovativo   o applicazione di nuove soluzioni  tecnologiche  od  organizzative;  9) quando  il  trattamento  in  se'  «impedisce  agli   interessati   di esercitare un  diritto  o  di  avvalersi  di  un  servizio  o  di  un contratto»); 
  Rilevato che il ricorrere di due o piu'  dei  predetti  criteri  e' indice di un trattamento  che  presenta  un  rischio  elevato  per  i diritti e le liberta' degli interessati e  per  il  quale  e'  quindi richiesta una valutazione d'impatto sulla protezione dei  dati  (cfr. WP 248, rev. 01, pag. 11); 
  Considerato che il garante ha predisposto un elenco delle tipologie di trattamento ai sensi dell'art. 35, paragrafo  4  da  sottoporre  a valutazione d'impatto; 
  Considerato che le previsioni di cui all'art. 35, paragrafo  1  del RGPD, che dispongono che «quando un tipo  di  trattamento,  allorche' prevede in particolare l'uso  di  nuove  tecnologie,  considerati  la natura, l'oggetto, il contesto e le finalita' del  trattamento,  puo' presentare un rischio elevato per  i  diritti  e  le  liberta'  delle persone fisiche, il  titolare  del  trattamento  effettua,  prima  di procedere  al   trattamento,   una   valutazione   dell'impatto   dei trattamenti previsti sulla protezione dei dati personali», prevalgono in ogni caso; 
  Considerato altresi' che il predetto elenco  e'  stato  predisposto sulla  base  del  WP  248,  rev.  01,  allo  scopo  di   specificarne ulteriormente il contenuto e a complemento dello stesso; 
  Rilevato che tale elenco e' stato comunicato in data 11 luglio 2018 al Comitato per il prescritto parere (art. 35, paragrafi  4  e  6,  e dall'art. 64, paragrafo 1, lettera a), del RGPD); 
  Viste le osservazioni rese dal Comitato nel parere adottato  il  25 settembre 2018  e  notificato  il  2  ottobre  2018  (disponibile  su https://edpb.europa.eu); 
  Ritenuto, in ottemperanza a quanto previsto dall'art. 64, paragrafo 7, del RGPD, di aderire  alle  osservazioni  contenute  nel  suddetto parere e di modificare,  in  conformita',  il  relativo  progetto  di decisione e di darne comunicazione al presidente del Comitato; 
  Rilevato che tale elenco e' riferito esclusivamente a tipologie  di trattamento  soggette  al  meccanismo  di  coerenza  e  che  non   e' esaustivo,  restando  fermo  quindi   l'obbligo   di   adottare   una valutazione d'impatto sulla protezione dei dati laddove ricorrano due o piu' dei criteri individuati dal WP 248, rev. 01 e  che  in  taluni casi «un titolare del trattamento puo' ritenere  che  un  trattamento che  soddisfa  soltanto  uno  [dei  predetti]  criteri  richieda  una valutazione d'impatto sulla protezione dei dati» (cfr. WP  248,  rev. 01, pag. 11); 
  Rilevato,  altresi',  che  il   predetto   elenco   potra'   essere ulteriormente  modificato  o  integrato  anche   sulla   base   delle risultanze emerse nel corso della  prima  fase  di  applicazione  del RGPD; 
  Viste le osservazioni formulate dal segretario  generale  ai  sensi dell'art. 15 del regolamento del garante n. 1/2000; 
  Relatore il dott. Antonello Soro; 
 
Tutto cio' premesso: 
 
  a) ai sensi degli articoli 35, paragrafo  4,  e  57,  paragrafo  1, lettera k), del RGPD fermo restando quanto indicato nel richiamato WP 248, rev. 01, individua  l'elenco  delle  tipologie  di  trattamenti, soggetti al meccanismo  di  coerenza,  da  sottoporre  a  valutazione d'impatto, riportate nell'allegato 1  facente  parte  integrante  del presente provvedimento, che specificano quanto riportato  nel  citato WP 248, rev. 01; 
  b) ai  sensi  dell'art.  64,  paragrafo  7  del  RGPD  comunica  al presidente del Comitato il presente  provvedimento  che  recepisce  i rilievi formulati nel parere richiamato in premessa; 
  c)   invia   copia   della   presente   deliberazione   all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia  ai  fini della sua pubblicazione nella  Gazzetta  Ufficiale  della  Repubblica
italiana. 
    Roma, 11 ottobre 2018 
 
Il presidente e relatore: Soro 
Il segretario generale: Busia 
(Allegato )
Allegato 1 
 
    1. Trattamenti valutativi o di scoring su  larga  scala,  nonché trattamenti che comportano la profilazione degli interessati  nonché lo svolgimento di attivita' predittive  effettuate  anche  on-line  o attraverso  app,  relativi  ad  «aspetti  riguardanti  il  rendimento professionale, la situazione economica, la salute,  le  preferenze  o gli  interessi  personali,  l'affidabilita'   o   il   comportamento, l'ubicazione o gli spostamenti dell'interessato». 
    2. Trattamenti automatizzati finalizzati  ad  assumere  decisioni che producono  «effetti  giuridici»  oppure  che  incidono  «in  modo analogo significativamente» sull'interessato, comprese  le  decisioni che impediscono di esercitare un diritto o di avvalersi di un bene  o di un servizio o di continuare ad esser  parte  di  un  contratto  in essere  (ad  es.  screening  dei  clienti  di  una  banca  attraverso l'utilizzo di dati registrati in una centrale rischi). 
    3. Trattamenti che prevedono un utilizzo sistematico di dati  per l'osservazione, il monitoraggio o  il  controllo  degli  interessati, compresa la  raccolta  di  dati  attraverso  reti,  effettuati  anche on-line o attraverso app, nonche' il  trattamento  di  identificativi univoci in grado di identificare gli utenti di servizi della societa' dell'informazione inclusi servizi web, tv interattiva, ecc.  rispetto alle abitudini d'uso e ai dati di  visione  per  periodi  prolungati. Rientrano in tale previsione anche i trattamenti di metadati  ad  es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma piu'  in  generale  per  ragioni  organizzative,  di previsioni di budget, di  upgrade  tecnologico,  miglioramento  reti, offerta di servizi antifrode, antispam, sicurezza etc. 
    4.  Trattamenti  su  larga  scala  di   dati   aventi   carattere estremamente personale (v. WP 248, rev. 01): si fa  riferimento,  fra gli altri, ai dati connessi alla vita familiare o  privata  (quali  i dati relativi  alle  comunicazioni  elettroniche  dei  quali  occorre tutelare la  riservatezza),  o  che  incidono  sull'esercizio  di  un diritto fondamentale (quali i dati sull'ubicazione, la  cui raccolta mette in gioco la liberta' di circolazione) oppure la cui  violazione comporta un grave  impatto  sulla  vita  quotidiana  dell'interessato (quali  i  dati  finanziari  che  potrebbero  essere  utilizzati  per commettere frodi in materia di pagamenti). 
    5. Trattamenti effettuati  nell'ambito  del  rapporto  di  lavoro mediante sistemi  tecnologici  (anche  con  riguardo  ai  sistemi  di videosorveglianza  e  di  geolocalizzazione)  dai  quali  derivi   la possibilita' di effettuare un controllo a distanza dell'attivita' dei dipendenti (si  veda  quanto  stabilito  dal  WP  248,  rev.  01,  in relazione ai criteri numeri 3, 7 e 8). 
    6. Trattamenti  non  occasionali  di  dati  relativi  a  soggetti vulnerabili (minori, disabili, anziani, infermi di  mente,  pazienti, richiedenti asilo). 
    7.  Trattamenti  effettuati  attraverso   l'uso   di   tecnologie innovative, anche con particolari misure di  carattere  organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale;  monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimita'  come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01. 
    8. Trattamenti che comportano lo scambio tra diversi titolari  di dati su larga scala con modalita' telematiche. 
    9.   Trattamenti   di   dati   personali   effettuati    mediante interconnessione, combinazione o raffronto di informazioni,  compresi i trattamenti che prevedono l'incrocio dei dati di  consumo  di  beni digitali con dati di pagamento (es. mobile payment). 
    10.  Trattamenti  di  categorie  particolari  di  dati  ai  sensi dell'art. 9 oppure di dati relativi a condanne penali e  a  reati  di cui all'art. 10 interconnessi con altri dati personali  raccolti  per finalita' diverse. 
    11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare,  del  volume  dei  dati,  della  durata,  ovvero   della persistenza, dell'attivita' di trattamento. 
    12. Trattamenti sistematici di dati genetici, tenendo  conto,  in particolare,  del  volume  dei  dati,  della  durata,  ovvero   della persistenza, dell'attivita' di trattamento. 

Scarica la DELIBERA 11 ottobre 2018 completa: DELIBERA 11 OTTOBRE 2018 – GARANTE PRIVACY

 

RISCHIO ACCESSO ALLE TELECAMERE PER VIDEOSORVEGLIANZA

Back door - Videosorveglianza

TELECAMERE PER VIDEOSORVEGLIANZA: UNA BACK DOOR PERMETTE L’ACCESSO DA REMOTO

Per chi si occupa di privacy e videosorveglianza, segnaliamo questo “problema” legato alle telecamere un po’ datate (di vari produttori).

In realtà il problema sarebbe risolvibile con un semplice aggiornamento firmware, ma non sempre questo aggiornamento viene effettuato.

Riassumendo brevemente, una grossa quota di telecamere per videosorveglianza prodotte fino al 2013-2014 contenevano nel firmware un accesso “back door” con un nome utente/password fissi che permettevano ai manutentori di avere l’accesso al sistema. Conoscendo la marca della telecamera per videosorveglianza è pertanto possibile ottenerne “irregolarmente” l’accesso e la visione di quanto da essa registrato.

Non tutti hanno aggiornato il firmware delle proprie telecamere per videosorveglianza installate indicativamente fino a 5 anni fa ed il problema potrebbe essere di avere accessi incontrollati alle riprese effettuate.

Il video allegato spiega nel dettagli il problema e le soluzioni:

<iframe width=”560″ height=”315″ src=”https://www.youtube-nocookie.com/embed/B8DjTcANBx0″ frameborder=”0″ allow=”accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture” allowfullscreen></iframe>

 

Di seguito alcune delle immagini tratte dal video

Back door - Videosorveglianza Back door - Videosorveglianza Back door - Videosorveglianza Back door - Videosorveglianza Back door - Videosorveglianza Back door - Videosorveglianza Back door - Videosorveglianza

 

Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata

Il Garante privacy all’Agenzia delle entrate: la fatturazione elettronica va cambiata.

I trattamenti di dati previsti dal 1 gennaio 2019 possono violare la normativa sulla protezione dei dati.

Sproporzionata raccolta di informazioni e rischi di usi impropri da parte di terzi.
Il Garante per la protezione dei dati personali ha avvertito l’Agenzia delle entrate che il nuovo obbligo della fatturazione elettronica, così come è stato regolato dall’Agenzia delle entrate, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”. Per questo motivo ha chiesto all’Agenzia di far sapere con urgenza come intenda rendere conformi al quadro normativo italiano ed europeo i trattamenti di dati che verranno effettuati ai fini della fatturazione elettronica [doc. web n. 9059949].
E’ la prima volta che il Garante esercita il nuovo potere correttivo di avvertimento, attribuito dalRegolamento europeo, attraverso un provvedimento adottato anche a seguito di alcuni reclami.
Il nuovo obbligo di fatturazione elettronica – esteso a partire dal 1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori – presenta, secondo il Garante, un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito.
Entrando nel merito del nuovo sistema di e-fatturazione il Garante ha rilevato una serie di criticità. In primo luogo, l’Agenzia, dopo aver recapitato le fatture in qualità di “postino” attraverso il sistema di interscambio (SDI) tra gli operatori economici e i contribuenti, archivierà e utilizzerà i dati anche a fini di controllo. Tuttavia non saranno archiviati solo i dati obbligatori a fini fiscali, ma la fattura vera e propria, che contiene di per séinformazioni di dettaglio ulteriori sui beni e servizi acquistati, come le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni (es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Altre criticità derivano dalla scelta dell’Agenzia delle entrate di mettere a disposizione sul proprio portale, senza una richiesta dei consumatori, tutte le fatture in formato digitale, anche per chi preferirà comunque continuare a ricevere la fattura cartacea o digitale direttamente dal fornitore, come garantito dal legislatore.
Ulteriori problemi pone il ruolo assunto dagli intermediari delegabili dal contribuente per la trasmissione, la ricezione e la conservazione delle fatture, alcuni dei quali operano anche nei confronti di una moltitudine di imprese, accentrando enormi masse di dati personali con un aumento dei rischi, non solo per la sicurezza delle informazioni, ma anche relativi a ulteriori usi impropri, grazie a possibili collegamenti e raffronti tra fatture di migliaia di operatori economici.
Anche le modalità di trasmissione attraverso lo SDI e gli ulteriori servizi offerti dall’Agenzia (come la conservazione dei dati) presentano criticità per quanto riguarda i profili di sicurezza, a partire dalla mancata cifratura della fattura elettronica, tanto più considerato l’utilizzo della PEC per lo scambio delle fatture, con la conseguente possibile memorizzazione dei documenti sui server di posta elettronica.
Una preventiva consultazione dell’Autorità, peraltro stabilita dal previgente Codice privacy e dal nuovo Regolamento Ue, avrebbe potuto assicurare fin dalla progettazione l’avvio del nuovo sistema con modalità e garanzie rispettose della protezione dei dati personali, introducendo misure tecnico organizzative adeguate in tutta la filiera del trattamento dei dati personali per la fatturazione elettronica.
Il provvedimento del Garante è stato inviato anche al Presidente del Consiglio dei ministri e al Ministro dell’economia e delle finanze per le valutazioni di competenza.

[Fonte: Garante della Privacy]

Elenco trattamenti soggetti alla valutazione d’impatto sulla protezione dei dati.

Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 [9058979].

Valutazione d´impatto sulla protezione dei dati, in base alle previsioni del Regolamento (UE) 2016/679

La pagina contiene link alla normativa e a documenti interpretativi, schede informative e pagine tematiche, ed è in continuo aggiornamento.

Ultimo aggiornamento 15 novembre 2018

NEWS

Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679

Terza riunione plenaria del Comitato europeo per la protezione dei dati (EDPB). Adottati i pareri sulle liste dei trattamenti da sottoporre a “Valutazione d’impatto sulla protezione dei dati”

EDPB – Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR) impact assessment (Article 35.4 GDPR)

LINEE GUIDA

Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248)

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.

Le linee-guida del WP29 offrono alcuni chiarimenti sul punto; in particolare, precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento all´art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

Le linee-guida chiariscono, peraltro, anche quando una valutazione di impatto non sia richiesta: ciò vale, in particolare, per i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e non presentino modifiche significative prima del 25 maggio 2018, data di piena applicazione del regolamento.

Il messaggio finale delle linee-guida (già sottoposte a consultazione pubblica) è che la valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l´altro fondamentale principio fissato nel regolamento 2016/679, ossia la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.

Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 – WP248rev.01  adottate il 4 aprile 2017 – come modificate e adottate da ultimo il 4 ottobre 2017

 

DOCUMENTI

Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679

– Valutazione di impatto sulla protezione dei dati (DPIA). Quando effettuarla?

 

APPROFONDIMENTI

Terza riunione plenaria del Comitato europeo per la protezione dei dati (EDPB). Adottati i pareri sulle liste dei trattamenti da sottoporre a “Valutazione d’impatto sulla protezione dei dati”

EDPB – Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR) impact assessment (Article 35.4 GDPR)

– Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali –Approccio basato sul rischio e misure di accountability (responsabilizzazione) di titolari e responsabibi

– VIDEO – “Data protection by default and by design”, valutazione di impatto e consultazione preventiva Intervento tenuto nel corso dell´incontro “Regolamento UE. Il Garante per la protezione dei dati personali incontra la PA”(tappa di Bari, 15 gennaio 2018)

– Individuazione e gestione del rischio – Pagina informativa

 

STRUMENTI

Un software per la valutazione di impatto

La CNIL, l´Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione dellavalutazione d´impatto sulla protezione dei dati (DPIA)

Il software – gratuito e liberamente scaricabile dal sito www.cnil.fr (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil) – offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

La versione in lingua italiana è stata messa a punto anche con la collaborazione del Garante per la protezione dei dati personali.

Occorre sottolineare che il software è in continua evoluzione, con revisioni introdotte anche sulla base dell´esperienza raccolta e delle segnalazioni degli utenti.

IMPORTANTE

Il software qui presentato NON costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d´impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d´impatto che va integrata in ragione delle tipologie di trattamento esaminate

E´ inoltre bene ricordare che la valutazione d´impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

Per approfondimenti, è disponibile anche un breve tutorial realizzato dal Garante italiano.

ISTRUZIONI PER L´INSTALLAZIONE

Una volta aperta la paginahttps://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil, scorrere fino al titolo “Version portable” e selezionare il tipo di sistema operativo installato sul proprio computer.

Una volta scaricato il software, lanciare l´installazione che sarà effettuata automaticamente nella versione in lingua italiana.

 

INDICE

news

linee guida

documenti

approfondimenti

strumenti

 

[Fonte: Garante Privacy]