PIA – Privacy Impact Analisys


Hits: 288

Privacy valutazioni d’impatto – che cosa, quando e come?

 

Dal 25 maggio 2018 la Valutazione d’Impatto per la protezione dei dati sarà obbligatoria per molte attività che trattano dati particolari.

Conosciuta anche come Privacy Impact Analisys ( “PIA”) è obbligatoria ai sensi del nuovo regolamento sulla protezione UE generale dei dati ( “GDPR”).

Il regolamento esplicita che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.

Che cosa significa?

La PIA è un processo per la valutazione degli impatti sulla privacy dei processi che intervengono nella gestione di servizi o prodotti che prevedono il trattamento di dati personali.

La finalità per cui viene condotta una PIA è l’individuazione delle criticità per l’adozione di azioni correttive adeguate ad evitare o ridurre al minimo gli impatti negativi sulla persona interessata.

Ciò comporta che ogni processo deve essere sottoposto alla PIA, anche quando può sembrare analogo ad altri già valutati.

La PIA, inoltre, non può nemmeno terminare una volta che l’organizzazione ha fornito il suo risultato.

La valutazione deve essere ciclica attraverso revisioni periodiche.

Quando è necessario effettuare una PIA?

Oltre a dove vi è un elevato rischio per i diritti della persona interessata, la PIA è obbligatoria nei seguenti casi:

“a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; “

Per esempio le istituzioni finanziarie che conducono approvazioni automatizzate prestito, fornitori di dati analitici, società di marketing online e motori di ricerca con servizi bersaglio di marketing.

“b)  il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o”

Per esempio gli operatori sanitari, le compagnie di assicurazione.

 “c)  la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.”

Per esempio autorità locali con telecamere a circuito chiuso nelle aree comuni, locali pubblici con sistemi di videosorveglianza.

La consultazione preventiva

“Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.”

 

l’Autorità di vigilanza richiederà la seguente documentazione:

“a)  ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell’ambito di un gruppo imprenditoriale;

b) le finalità e i mezzi del trattamento previsto;

c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;

d) ove applicabile, i dati di contatto del titolare della protezione dei dati;

 

Lascia un commento