Ciò che è accaduto nel cyberspazio, durante l’ultimo decennio, ha destato in molti notevole preoccupazione circa privacy e sicurezza. Le norme europee prevedono che i Titolari del trattamento effettuino valutazioni dell’impatto sulla privacy e sulla protezione dei dati.
Il cyberspazio contiene petabyte di informazioni private. Che siano fornite dagli interessati, su richiesta formale dei fornitori di servizi online, o esposte volontariamente nelle reti dei social media, le informazioni personali sono sempre un bersaglio attraente per i criminali informatici.
Ciò che è accaduto nel cyberspazio, durante l’ultimo decennio, ha destato in molti notevole preoccupazione circa privacy e sicurezza. Le norme europee prevedono che i Titolari del trattamento effettuino valutazioni dell’impatto sulla privacy e sulla protezione dei dati.
Siccome spesso le due cose vengono confuse e intercambiate senza comprenderne appieno il senso, diamo uno sguardo veloce alle definizioni semplificate di questi due termini e quando attuarle.
- La valutazione dell’impatto sulla privacy (PIA) consiste nell’analizzare il modo in cui un’entità raccoglie, utilizza, condivide e conserva le informazioni di identificazione personale, relative ai rischi esistenti.
- La valutazione dell’impatto sulla protezione dei dati (DPIA) si occupa di identificare e ridurre al minimo i rischi associati al trattamento dei dati personali.
Nonostante il fatto che gli acronimi PIA e DPIA siano usati in modo intercambiabile in molte situazioni, queste procedure di valutazione svolgono ruoli diversi.
Il Privacy Impact Assessment (PIA) è un processo utilizzato per proteggere la privacy fin dalla progettazione quando un’organizzazione avvia o acquisisce una nuova attività, implementa un nuovo processo o lancia un nuovo prodotto.
Il Data Protection Impact Assessment (DPIA) è un processo continuo, applicato regolarmente al trattamento dei dati personali, identificando e mitigando i rischi. La DPIA fa parte delle attività di conformità al Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea (UE) .
Quando è richiesta una DPIA ai sensi del GDPR?
Tutte le attività relative al trattamento dei dati di identificazione personale appartengono a operazioni ad alto rischio. Ciò può includere qualsiasi monitoraggio, raccolta ed elaborazione automatizzata di dati personali, elaborazione massiva (“su larga scala”) di informazioni specifiche come dati sanitari o il casellario giudiziale di una persona, ecc.
Per semplificare le pre-valutazioni del caso, l’EDPB ha provveduto un elenco delle tipologie di trattamenti soggetti al meccanismo di coerenza da sottoporre a valutazione di impatto (DPIA) (disponibile qui) in quanto, se effettuate in maniera impropria o compromesse, potrebbero rappresentare dei rischi e avere impatti negativi sugli interessati coinvolti.
FinData ti aiuterà a identificare i requisiti rilevanti nei paesi in cui operi e ad effettuare tutti i necessari processi di valutazione.
Fondamenti di PIA e DPIA
I principi di base di PIA e DPIA sono simili. È un ciclo iterativo di quattro fasi sequenziali:
- Definizione del contesto del trattamento dei dati personali;
- Stabilire controlli per garantire il rispetto dei principi fondamentali;
- Valutazione dei rischi per la privacy associati a quel trattamento;
- Convalida del livello di protezione dei dati raggiunto.
Durante ogni fase di una PIA o DPIA, è necessario definire:
- Le parti (titolari del trattamento, responsabili del trattamento e soggetti);
- La natura e l’ambito dei dati;
- Le finalità del trattamento dei dati;
- I requisiti di conformità ai sensi del GDPR e / o di altre normative.
I principi fondamentali della protezione dei dati, come definiti dal GDPR , includono la minimizzazione dei dati, la qualità, la data retention, il trasferimento a terzi, la protezione dei diritti dell’interessato, ecc.
Una valutazione descrive le fonti, le vulnerabilità, le minacce, gli scenari e il probabile impatto, inclusa la gravità e la probabilità.
La fase di convalida comprende l’analisi delle informazioni ricevute durante le fasi precedenti, la verifica dei controlli sulla sicurezza dei dati, la mappatura dei rischi e la formulazione di un piano d’azione con le persone responsabili assegnate.
Come possiamo aiutarti
In FinData, sappiamo quanto possano essere lunghe e pesanti le valutazioni dell’impatto sulla privacy e sulla protezione dei dati se effettuate senza gli strumenti e il personale giusto. Nel fornire soluzioni ai nostri clienti abbiamo sufficiente esperienza e conoscenza per raccogliere le sfide che ogni area geografica e di settore di business richiede.
Forniamo una valutazione iniziale volta a determinare il modo migliore per applicare le valutazioni dell’impatto sulla privacy e sulla protezione dei dati nella tua organizzazione. Questo, se non altro, consente ai nostri clienti di comprende appieno le implicazioni legate alla conformità e identificare rapidamente le aree di vulnerabilità di contesto.
Contattaci per organizzare una call per esplorare ulteriormente questo aspetto.