CONTESTO DI RIFERIMENTO

Al fine di garantire la tutela dei dati personali, il GDPR prescrive ai titolari del trattamento l’obbligo di effettuare, in determinati casi, una valutazione dei singoli trattamenti per valutarne la necessità e la proporzionalità, nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Questa valutazione, indicata all’interno del Regolamento europeo, prende il nome di “DPIA” (i.e. “Data Protection Impact Assessment”), e indica la “valutazione d’impatto della protezione dei dati”. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.

In particolare, il D.lgs. n. 24/2023 attuativo della Direttiva Europea n. 1937/2019, all’art. 13 comma 6 ha regolato gli aspetti connessi alla protezione dei dati personali legati ai sistemi di gestione delle segnalazioni e stabilisce che “i soggetti di cui all'articolo 4 definiscono il proprio modello di ricevimento e gestione delle segnalazioni interne, individuando misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi derivanti dai trattamenti effettuati, sulla base di una valutazione d’impatto sulla protezione dei dati, e disciplinando il rapporto con eventuali fornitori esterni che trattano dati personali per loro conto ai sensi dell’articolo 28 del regolamento (UE) 2016/679 o dell’articolo 18 del decreto legislativo n. 51 del 2018”.

Il decreto legislativo n. 24 del 10 marzo 2023 acquisirà piena efficacia dal 15 luglio 2023, ciò significa che da questa data entreranno a regime i nuovi obblighi per gli enti pubblici e privati, il sistema di sanzioni gestito dall’Autorità Nazionale Anticorruzione e le tutele previste per chi denuncia un illecito.

Fra gli obblighi per gli Enti pubblici ricade, fra gli altri, l’obbligo di gestire il trattamento dei dati personali e la documentazione inerente alle segnalazioni a norma GDPR, effettuando inoltre una Valutazione d’impatto (DPIA), in ottemperanza dell’art. 35, per assicurare un livello di cyber security commisurato ai rischi.

OGGETTO DEL SERVIZIO

Il servizio proposto dal CST mette a disposizione una figura professionale dedicata, esperta in materia GDPR, che espleti la valutazione per conto del Titolare del trattamento al fine di adempiere all’obbligo DPIA; il CST, dopo aver eseguito una raccolta di informazioni sulla tipologia dei dati e sulla categoria degli interessati coinvolti, nonché sulle caratteristiche degli strumenti, modalità e misure organizzative che coinvolgeranno i trattamenti, ai sensi dell’art. 35 par. 7 GDPR, eseguirà la valutazione attraverso i seguenti contenuti:

1. descrizione “sistematica” dei trattamenti e delle relative finalità tra cui, ove ricorra, anche l’indicazione del cd. legittimo interesse di cui alla lett. f) del par. 1 dell’art. 6 del GDPR;
2. analisi del rispetto o meno da parte delle sue attività dei principi di finalità, minimizzazione e proporzionalità del trattamento di cui all’art. 5 del GDPR;
3. valutazione dei rischi ai quali i diritti e libertà degli interessati sono esposti attraverso i trattamenti dei dati personali che effettuerà (sia in materia di privacy, sia intesi come libertà di espressione e di pensiero, libertà di movimento, libertà di coscienza e religione e il diritto a non subire discriminazioni di alcuna sorta);
4. susseguente individuazione delle misure tecniche, organizzative e di sicurezza presenti e/o da implementare o adottare per gestire i rischi di cui al precedente periodo e per garantire la protezione dei dati personali al fine di poter dimostrare una condotta responsabilizzata, ovvero tracciabile e conforme al Regolamento, che non leda i diritti e gli interessi degli interessati e di eventuali altri soggetti indirettamente coinvolti.