Visualizza articoli per tag: valutazione d'impatto

Per la bio-videosorveglianza dei dipendenti pubblici ci vuole una preventiva valutazione di impatto privacy. Lo ha scritto il Garante per la protezione dei dati, nel parere (provvedimento n. 167 del 19 settembre 2019) sullo schema di dpcm, che attua l'articolo 2 della legge 56/2019, recante «Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell'assenteismo».

Con questo contributo si entra pur schematicamente nella vicenda del Responsabile del Responsabile (d'ora in poi anche 'Subresponsabile') nel momento in cui debba affrontare tre importanti adempimenti in base al Regolamento 2016/679, nell'ordine: la redazione e la tenuta del registro, la valutazione di impatto, la gestione delle violazioni di dati, tutti ovviamente nella misura in cui concernenti i dati o i trattamenti di dati nello svolgimento dell'attività e/o servizio affidatigli, con l'autorizzazione del Titolare, dal Responsabile.

In questo articolo si sviluppa il tema della rilevabilità del rischio, una delle componenti da considerare nella valutazione dei rischio.  La rilevabilità - detectability - (R) misura la facilità di intercettazione/individuazione dell’evento prima che questo si manifesti. Alcuni esempi:

A partire dal 2020 il progetto di citizen score diventerà obbligatorio e, in Cina, il Social Credit System, da immaginario di serie tv, sarà a tutti gli effetti realtà. L’idea cinese si basa sull’attribuzione di uno Scoring (punteggio) ai cittadini (ma non solo) fondato su cinque fattori:

In data 10 Giugno 2021 [doc. web 9685922] l’Autorità Garante ha sanzionato un titolare del trattamento per aver implemento senza una valutazione di impatto privacy una piattaforma ai fini della gestione del whistleblowing in violazione dei principi della privacy by design e by default.

Nell’ambito della crisi COVID-19, la complessità della regolazione in materia della privacy risiede nel bilanciamento tra la capacità di tutela dei diritti individuali e la capacità di garantire l’efficacia del sistema di governance dell’emergenza sanitaria. Com’è noto, l’art. 35 del GDPR n. 2016/679 parla di valutazione d’impatto sulla protezione dei dati che deve essere effettuata dal titolare del trattamento quando quest’ultimo prevede l’uso di tecnologie che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il GDPR, chiarisce quali siano i contenuti della valutazione di impatto:

Nell’articolo “La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019” sono stati introdotti alcuni temi sulla valutazione dei rischi confrontando quanto richiesto dalla ISO/IEC 27001:2013, dalla ISO/IEC 27701:2019 e dal REG. UE 2016/679. In questo secondo articolo sul tema si desidera porre l’accento su alcune modalità con le quali può essere condotta la valutazione dei rischi, illustrandole tramite alcuni semplici esempi.

Valutazione preventiva di impatto privacy obbligatoria per gli impianti di videosorveglianza su larga scala e più intelligenti. Mentre si naviga a vista sui tempi e sulla trasparenza dei dati raccolti da enti e forze locali. Solo i comuni e gli organi di polizia possono posizionare telecamere rivolte verso piazze, giardini e strade: ma resta il nodo dei sistemi pubblici a vocazione interforze, ossia i cui dati sono condivisibili da più soggetti (comune, polizia, carabinieri ecc.). Le risposte alle domande frequenti in materia di videosorveglianza diramate dal Garante chiariscono questi aspetti, ma non affrontano altri, più complessi. Come per esempio i tempi di conservazione necessariamente allungati per finalità di sicurezza pubblica e le diverse e più limitate regole per la trasparenza dei trattamenti.