Submitted by: admin
on Gio, 23/05/2013 - 17:42
33
Valutazione d’impatto sulla protezione dei dati

1. Quando il trattamento, per la sua natura, il suo oggetto o le sue finalità, presenta rischi specifici per i diritti e le libertà degli interessati, il responsabile del trattamento o l’incaricato del trattamento che agisce per conto del responsabile del trattamento effettua una valutazione dell’impatto del trattamento previsto sulla protezione dei dati personali.

2. Presentano rischi specifici ai sensi del paragrafo 1 in particolare i seguenti trattamenti:

a) la valutazione sistematica e globale di aspetti della personalità dell’interessato o volta ad analizzarne o prevederne in particolare la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento, basata su un trattamento automatizzato e da cui discendono misure che hanno effetti giuridici o significativamente incidono sull’interessato;
b) il trattamento di informazioni concernenti la vita sessuale, lo stato di salute, la razza e l’origine etnica oppure destinate alla prestazione di servizi sanitari o a ricerche epidemiologiche o indagini su malattie mentali o infettive qualora i dati siano trattati per prendere misure o decisioni su larga scala riguardanti persone specifiche;
c) la sorveglianza di zone accessibili al pubblico, in particolare se effettuata mediante dispositivi ottico-elettronici (videosorveglianza) su larga scala;
d) il trattamento di dati personali in archivi su larga scala riguardanti minori, dati genetici o dati biometrici; e) qualunque altro trattamento che richiede la consultazione dell’autorità di controllo ai sensi dell’articolo 34, paragrafo 2, lettera b).
 

3. La valutazione contiene almeno una descrizione generale del trattamento previsto, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questione.

4. Il responsabile del trattamento raccoglie le osservazioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza del trattamento.

5. Qualora il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico e il trattamento sia effettuato in forza di un obbligo legale ai sensi dell’articolo 6, paragrafo 1, lettera c), che prevede norme e procedure riguardanti il trattamento e sia stabilito dal diritto dell’Unione, i paragrafi da 1 a 4 non si applicano salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.

7. Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e le condizioni concernenti i trattamenti che possono presentare rischi specifici di cui ai paragrafi 1 e 2 e i requisiti riguardanti la valutazione di cui paragrafo 3, comprese le condizioni di scalabilità, verifica e controllabilità. A tal fine, la Commissione contempla misure specifiche per le micro, piccole e medie imprese.

8. La Commissione può specificare norme e procedure per l’esecuzione, la verifica e il controllo della valutazione di cui al paragrafo 3. Tali atti di esecuzione sono adottati secondo la procedura d’esame di cui all’articolo 87, paragrafo 2.