https://www.veryfastpeople.it/category/blog/privacy-in-condominio/
Valutazione di Impatto (DPIA): parte seconda
Nel precedente articolo abbiamo introdotto la c.d. Valutazione di impatto, anche denominata DPIA (Data Protection Impact Assessment) o PIA (Privacy Impact Assessment), utilizzata per la valutazione del rischio del trattamento.
Esaminiamo oggi i casi in cui non è necessario eseguire una tale procedura.
Valutazione del rischio: quando non serve effettuare una DPIA
In generale non è necessario procedere ad una Valutazione d’impatto quando:
- un trattamento non è tale da presentare un rischio elevato per i diritti e le libertà fondamentali delle persone fisiche;
- un trattamento è già stato sottoposto a tale procedura;
- l’Autorità, in passato (prima del maggio 2018), ha già esaminato le procedure di trattamento;
- il trattamento in questione è incluso in un elenco di tipologie per le quali la Valutazione risulta facoltativa.
Valutazione del rischio: come si effettua una DPIA
La Valutazione di impatto si sviluppa nelle seguenti fasi:
- descrizione dei trattamenti e delle finalità degli stessi,
- valutazione della necessità e proporzionalità dei medesimi;
- valutazione del rischio che essi comportano;
- indicazione delle misure previste per affrontare tali rischi e dimostrare la conformità al Regolamento.
Esistono, nel contesto italiano ed europeo, precisi standard e criteri che le Autorità prescrivono al fine di stabilire se sia necessaria l’effettuazione della Valutazione e se essa possa essere considerata correttamente eseguita.
Dovranno infatti essere dettagliatamente descritti:
- i trattamenti, unitamente alla natura, al contesto e alle finalità degli stessi;
- le modalità di registrazione dei dati personali;
- le tempistiche di trattamento;
- le risorse fisiche, logiche e organizzative mediante le quali i trattamenti vengono operati;
- l’approvazione di codici di condotta;
- la necessità e proporzionalità dei trattamenti effettuati e le relative misure adottate;
- le informazioni e le modalità con le quali le misure adottate sono portate a conoscenza dei destinatari.
Quanto ai rischi relativi al trattamento, si considerano:
- la natura;
- la particolarità;
- la gravità;
- la probabilità;
- le fonti;
- i potenziali impatti;
- le minacce;
- le misure previste per la gestione di tali rischi.
La Valutazione di impatto termina e si definisce in un rapporto finale, che può (e dovrebbe) essere assai ricco di informazioni e indicazioni.
Valutazione del rischio: obiettivi e vantaggi
La breve disamina effettuata consente di comprendere come i principali obiettivi della Valutazione siano quelli, da un lato, di poterne comunicare i risultati alle parti interessate, così da “assicurarli” in merito alla protezione delle informazioni che li riguardano; dall’altro, di poter gestire, dal punto di vista aziendale, l’impatto privacy con più garanzie di protezione e una maggiore consapevolezza degli aspetti oggi determinanti in questa materia (privacy by design e privacy by default, accountability, trasparenza).
Per maggiori informazioni:
- https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil (per l’effettuazione della DPIA)
- https://www.garanteprivacy.it/regolamentoue/DPIA