Il Garante per il trattamento dati personali ha individuato le categorie di trattamenti che necessitano una valutazione d’impatto:
Qui potete trovare il provvedimento.
Si ricorda che informazioni a riguardo sono contenute anche nel documento delle Linee guida in materia di valutazione d’impatto sulla protezione dei dati personali del Gruppo di Lavoro Articolo 29 (oggi EDPB).
La figura seguente riporta una possibile schematizzazione della mappatura degli esiti di una valutazione di impatto sulla privacy o “privacy impact assessment” (PIA). In pratica possiamo riassumere i casi in funzione della “probabilità del rischio” e della “gravità del rischio”, andando ad individuare
quattro casi: Trascurabile, Limitato, Importante, Elevato (o Massimo).
In base alla posizione del caso specifico nella precedente mappa sarà necessario effettuare un livello diverso di analisi ed azioni volte a ridurre il rischio di violazione della privacy.
La figura riporta il ciclo di attività legate alla valutazione di impatto sulla privacy (PIA).
(D)PIA sta per “(Data) Privacy Impact Assessment” o “Valutazione d‘Impatto sulla Privacy” ed è il primo documento che dovrebbe fare un’Azienda (quale titolare del trattamento dei dati) per valutare il livello di “impatto” delle proprie attività sulla gestione dei dati personali.
In base a questo documento di “autovalutazione” verranno fatte una serie di considerazioni successive ed impostata la propria politica sulla privacy e la gestione dei dati personali.
Alcune Autorità europee hanno realizzato strumenti on-line per poter aiutare le Aziende nella guida alla compilazione di questo documento.
Ad oggi il miglior strumento a disposizione gratuito ed in italiano, ci sembra quello realizzato dal “Garante Francese“, che potete scaricare qui, sia per Windows che per Linux e Mac.
Seguiranno istruzioni sulla sua compilazione e chiarimento in merito…
State sintonizzati!
