giovedì, 1 dicembre 2022

W la Privacy

W la Privacy

Data Protection Officer e interessati vulnerabili: quali garanzie rafforzare

22/11/2022

Le tutele previste in materia di protezione dei dati personali seguono un approccio basato sul rischio, dovendo di conseguenza andare a rafforzare delle garanzie nel momento in cui l’attività può cagionare – o intrinsecamente cagiona – un impatto nei confronti di interessati c.d. “vulnerabili”.

Questa categoria di soggetti viene richiamata dal considerando n. 75 GDPR nell’ambito del computo dei rischi derivanti dalla capacità di cagionare danni fisici, materiali o immateriali di taluni trattamenti riscontrabile nel principio di integrità e sicurezza, accountability e privacy by design, ad esempio. In forza di tale computo, viene indicata l’esigenza di porre una particolare attenzione “se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori”.

All’interno delle linee guida WP248 che si riferiscono allo svolgimento della valutazione d’impatto, l’elemento di vulnerabilità degli interessati è indicato fra i criteri di cui tenere conto per valutare l’obbligo di svolgimento di una DPIA. Non solo: trova anche una migliore definizione generale, come circostanza di squilibrio di potere, tale per cui tali interessati possano o non essere in grado di esercitare in modo efficace i propri diritti o altrimenti trovarsi nell’incapacità di opporsi in modo consapevole alle attività di trattamento. Il catalogo esemplificativo che viene offerto a riguardo è piuttosto ampio ed eterogeneo: minori, dipendenti, infermi di mente, richiedenti asilo, anziani o pazienti.

Necessario un comportamento proattivo

Il Data Protection Officer deve seguire un approccio basato sul rischio per lo svolgimento dei propri compiti, è necessario pertanti che questa figura sappia svolgerli in modo adeguato nel momento in cui l’organizzazione svolge attività di trattamento su dati personali di tale categoria di interessati. E di conseguenza si sappia porre come presidio per rafforzare le garanzie del GDPR, con l’adozione di un comportamento proattivo. Ad esempio, indicando al titolare del trattamento l’obbligo di DPIA e andando poi a sorvegliarne lo svolgimento. O anche verificando che la trasparenza informativa abbia tenuto conto dei destinatari delle comunicazioni, garantendone la migliore accessibilità.

Nell’ambito del controllo di sicurezza è necessario che la valutazione dei processi di selezione e di implementazione delle misure tecniche e organizzative per la mitigazione del rischio tenga conto dell’elemento specifico del maggiore impatto derivante da trattamenti illeciti o violazioni di dati personali di tale categoria di soggetti.

Per quanto riguarda l’assetto organizzativo interno, il DPO nel sorvegliare le politiche di formazione e sensibilizzazione del personale che partecipa alle attività di trattamento dovrà specificamente controllare tanto l’elemento della consapevolezza circa la circostanza di vulnerabilità degli interessati che l’adeguatezza delle istruzioni somministrate per garantirne una tutela. Mentre per l’esterno sarà necessario controllare che i responsabili del trattamento abbiano ricevuto istruzioni documentate idonee a fornire analoga consapevolezza ed istruzioni, nonché siano vincolati ai medesimi standard di sicurezza impostati dall’organizzazione.

 

Articolo di Stefano Gazzella, Delegato Federprivacy per la provincia di Gorizia.


maggiori informazioni su:
www.federprivacy.org



Tutte le news

Calendario Corsi 2023

Ethos Academy propone corsi di formazione sui temi della sicurezza, che sono anche propedeutici alla certificazione e validi per il mantenimento.
Il calendario 2023 è in allestimento

Scopri la programmazione »