Valutazione di Impatto della Protezione dei dati

La valutazione di Impatto della protezione dei dati: concetti base

La Valutazione di Impatto della Protezione dei Dati o  Privacy Impact Assessment (PIA) è definita nell’articolo 35 del GDPR (Regolamento UE 2016/679).

Il Regolamento richiede di garantire un livello di sicurezza adeguato, e questo può essere fatto solo con valutazioni preventive periodiche dei fenomeni di rischio e alla loro entità, in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento. Inoltre, il concetto di “accountability” prevede che il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina.

In aggiunta è bene ricordare che:

“La valutazione e la riduzione del rischio sono richieste insieme ad un’approvazione preventiva da parte delle autorità per la protezione dei dati (DPA, Data Protection Authority) per rischi elevati. I Responsabili per la protezione dei dati (Articoli 37) sono tenuti a verificare l’osservanza delle norme del Regolamento da parte dei titolari e nel caso di valutazioni di impatto, se richiesto dal titolare, sono tenuti a consultarsi con esso.” – fonte: Wikipedia

Caratteristiche della PIA

Il GDPR definisce le caratteristiche minime di una PIA:

  • «una descrizione delle operazioni di trattamento previste e degli scopi del trattamento»
  • «una valutazione della necessità e della proporzionalità del trattamento»
  • «una valutazione dei rischi per i diritti e le libertà delle persone»
  • «le misure previste per:
    • «affrontare i rischi»;
    • «dimostrare la conformità al presente regolamento».

Lo stato dell’ arte

Nella attività di valutazione di impatto è bene coinvolgere tutti i livelli organizzativi, sia perché è necessario un approccio multidisciplinare (legale, IT, operativo, business, marketing ecc.), sia perché tutti i membri dell’organizzazione (impiegati, dirigenti, tecnici ecc.) devono essere consapevoli delle best practices adottate.

Contattaci o visita le altre sezioni GDPR del sito per maggiori approfondimenti. JS Italy può aiutarti a valutare lo stato della tua organizzazione rispetto ai requisiti normativi e a redigere la valutazione di impatto della protezione dei dati e il registro dei trattamenti.