Versione HTML di base
2.
La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e
chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33,
paragrafo 3, lettere b), c) e d).
3.
Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure
erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali
incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio
elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica
o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
4.
Nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati
personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali
presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.
Sez i one 3
Va lut az ione d ' impa t to sul l a protez ione de i da t i e consul t az ione prevent iva
Articolo 35
Valutazione d'impatto sulla protezione dei dati
1.
Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura,
l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone
fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti
previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che
presentano rischi elevati analoghi.
2.
Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, si consulta con il
responsabile della protezione dei dati, qualora ne sia designato uno.
3.
La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automa
tizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo
analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati
relativi a condanne penali e a reati di cui all'articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
4.
L'autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una
valutazione d'impatto sulla protezione dei dati ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al
comitato di cui all'articolo 68.
5.
L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali
non è richiesta una valutazione d'impatto sulla protezione dei dati. L'autorità di controllo comunica tali elenchi al
comitato.
6.
Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l'autorità di controllo competente applica il meccanismo di
coerenza di cui all'articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all'offerta di beni o servizi a
interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere
significativamente sulla libera circolazione dei dati personali all'interno dell'Unione.
4.5.2016
L 119/53
Gazzetta ufficiale dell'Unione europea
IT