Come realizzare la privacy impact analysis

La PIA – Valutazione dell’impatto sulla protezione dati – è definita dall’art. 35 del Regolamento e deve essere svolta dal Titolare del Trattamento con il supporto del Responsabile della Protezione Dati (DPO) ove presente.

home

Anche se il Regolamento individua i casi in cui lo svolgimento di tale analisi è indispensabile e obbligatorio (trattamenti automatizzati e profilazione, trattamento su larga scala di particolari categorie di dati… ) e anche se l’Autorità Garante pubblicherà probabilmente un elenco esaustivo delle situazioni in cui la PIA dovrà essere effettuata, riteniamo che tutti i Titolari del Trattamento, a prescindere dall’obbligatorietà, potrebbero trarre dei benefici da una valutazione ex-ante degli aspetti legati al trattamento dei dati personali per valutarne i rischi e verificare il rispetto della normativa.

L’ampiezza dell’analisi sarà legata alla complessità dell’organizzazione e, in molti casi, potrà essere affrontata anche dalle realtà più piccole con un impegno ragionevole.

L’utilizzo di strumenti già utilizzati nei sistemi di gestione, come ad esempio, il metodo Plan-Do-Check-Act (PDCA), permetterà di valutare il trattamento alla stregua di un processo e quindi inserirlo nel piano degli altri processi aziendali e di sottoporlo ad analisi, facendo emergere eventuali rischi connessi al nuovo processo sia da solo che nel rispetto degli altri già monitorati (secondo le linee guida della ISO 9001:2015).

Continua su Alert Privacy

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *