Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati

I titolari del trattamento privati o pubblici devono effettuare una valutazione d’impatto sulla protezione dei dati quando il trattamento dei dati personali può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata.

La valutazione d’impatto sulla protezione dei dati è uno strumento che permette ai titolari del trattamento di rilevare, valutare e trattare i rischi in materia di protezione dei dati. Il disciplinamento concernente tale valutazione nella revisione totale della legge federale sulla protezione dei dati riflette l’approccio basato sui rischi della nuova legislazione in materia, che comporta altresì l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati solo in caso di rischio potenzialmente elevato.

La valutazione d’impatto sulla protezione dei dati contiene una descrizione del trattamento dei dati previsto, una valutazione dei rischi per la personalità o per i diritti fondamentali della persona interessata nonché i provvedimenti a loro tutela. Nel caso in cui sia già stato effettuato un trattamento di dati, nella valutazione d’impatto sulla protezione dei dati il titolare verifica e indica le differenze sostanziali di tale trattamento rispetto a quello previsto. 

Un rischio elevato può risultare dall’applicazione di nuove tecnologie, nonché dal tipo, dall’estensione, dalle circostanze e dallo scopo del trattamento. La legge menziona ad esempio il trattamento su grande scala di dati personali degni di particolare protezione e la sorveglianza sistematica di ampi spazi pubblici (art. 22 LPD). Nella valutazione e nel trattamento dei rischi è opportuno distinguere tra quelli che possono essere influenzati da misure di riduzione dei rischi e quelli che non (o difficilmente) possono essere influenzati da misure di questo tipo.

Se dalla valutazione d’impatto sulla protezione dei dati emerge che il trattamento dei dati previsto comporta un rischio residuo elevato per la personalità o i diritti fondamentali della persona interessata nonostante le misure pianificate dal titolare, occorre richiedere un parere all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT). Sono esentati da tale obbligo i titolari privati del trattamento che si sono rivolti ai rispettivi consulenti per la protezione dei dati. 

Lo svolgimento di una valutazione d’impatto sulla protezione dei dati non esonera tuttavia dall’obbligo di osservare tutte le disposizioni applicabili in materia di protezione dei dati (anche in senso lato, come il segreto d’ufficio).

Maggiori informazioni sul sito web dell'Ufficio federale di giustizia (UFG)

Obbligo di informare

L’obbligo di informare garantisce la trasparenza dei trattamenti e contribuisce a rafforzare i diritti della persona interessata.

Diritto d’accesso

Conformemente alla legge federale sulla protezione dei dati, chiunque può chiedere al titolare del trattamento se i dati personali che lo concernono sono oggetto di trattamento.

Consulenti per la protezione dei dati

Notifica dei consulenti per la protezione dei dati (DPO) all'IFPDT ai sensi dell'art. 10 cpv. 3 LPD per i privati e dell'art. 10 cpv. 4 LPD per gli organi federali.

Disposizioni penali

Aspetti penali legati alle violazioni degli obblighi previsti dalla LPD.

Webmaster
Ultima modifica 24.07.2024

Inizio pagina