La Pia, acronimo di Privacy Impact Analysis, è la Valutazione dell’impatto sulla protezione dati, ed è definita dall’art. 35 del nuovo Regolamento sulla privacy. La PIA deve essere svolta dal Titolare del Trattamento dei dati con il supporto del Responsabile della Protezione Dati (DPO) ove presente.
Anche se il Regolamento individua i casi in cui lo svolgimento di tale analisi è indispensabile e obbligatorio (ad esempio trattamenti automatizzati e profilazione, trattamento su larga scala di particolari categorie di dati) e anche se l’Autorità Garante pubblicherà probabilmente un elenco esaustivo delle situazioni in cui la PIA dovrà essere effettuata, tutti i Titolari del Trattamento, a prescindere dall’obbligatorietà, potrebbero trarre dei benefici da una preventiva valutazione degli aspetti legati al trattamento dei dati personali per valutarne i rischi e verificare il rispetto della normativa.
Per agevolare questo processo, il garante francese per la protezione dei dati ha creato un tool gestionale utile alle valutazioni d'impatto dei trattamenti (PIA) ed in molti casi utilizzabile nei processi di prima individuazione dei registri dei trattamenti da mantenere per tutta la vita aziendale.
Il software si propone di aiutare i responsabili del trattamento dei dati delle grandi aziende, i Titolari delle PMI e i responsabili della protezione dei dati (DPO) a costruire e dimostrare la conformità al GDPR.
Gli strumenti, grazie al contributo di Identità Digitale Defender, da oggi sono disponibili gratuitamente anche in Italia e con gli opportuni adattamenti linguistici, legislativi e rimandi ai regolamenti nazionali. Il software facilita l'esecuzione di una valutazione d'impatto sulla protezione dei dati e si presta ad essere un ottimo strumento di controllo per la gestione aziendale e dei flussi di dati sicuri nel rispetto della privacy.
Scarica il software gratuito QUI
Le fasi del processo PIA
Le fasi del processo PIA possono essere condotte e registrate secondo il seguente schema:
1.Valutazione preliminare di opportunità per un PIA
Questa fase serve ad un’organizzazione a:
spiegare ciò che il progetto intende realizzare, quali sono i benefici attesi per l’organizzazione, per gli individui e per le altre parti
decidere, in base ad un insieme di domande mirate di screening, se un PIA sia necessario
dimensionare le risorse a seconda dell’entità del progetto e il tempo necessario alla valutazione
capire gli impatti potenziali e i passi che potrebbero essere richiesti per identificare e ridurre il rischio.
2.Descrizione dei flussi di informazioni e coinvolgimento dei partecipanti
Una valutazione approfondita dei rischi e dei relativi impatti per la privacy è possibile solo se si evidenziano gli elementi che caratterizzano il trattamento dei dati. Occorre descrivere: quali informazioni sono utilizzate; come vengono trattate nelle singole fasi; cosa servono, ovvero per quale finalità; da chi sono ottenute, a chi sono comunicate; chi ne deve avere accesso.
3.Identificazione dei rischi privacy e di quelli correlati.
In questa fase occorre valutare gli aspetti di privacy che espongono il progetto in esame a rischi di privacy; l’organizzazione deve considerare come il progetto potrà generare eventuali problemi alla privacy degli interessati che, a loro volta, si ripercuoteranno sulla stessa organizzazione se non indirizzati correttamente.
4.Individuazione delle soluzioni e delle misure
In questa fase le organizzazioni hanno bisogno di identificare quali soluzioni possono essere intraprese per i rischi che hanno identificato. Il PIA dovrebbe offrire una serie di possibili opzioni per indirizzare ciascun rischio anche se va considerato che lo scopo non è quello di eliminare completamente l’impatto ma è quello di ridurre l’impatto ad un livello accettabile pur consentendo di realizzare un’iniziativa.
5.Approvazione delle decisioni e registrazione dei risultati
Si ritiene utile giungere alla conclusione delle attività producendo un report finale, da allegare alla documentazione di progetto, per riassumere il processo e i passi compiuti per mitigare il rischio privacy e per consentire di ricostruire a posteriori i motivi delle scelte fatte sulla base dei rischi individuati.
6.Integrazione dei risultati del PIA nel piano di progetto
I rilievi PIA e le azioni dovrebbero essere integrate con il piano di progetto complessivo man mano che si sviluppa. Anche se la maggior parte dell’impegno per il PIA risiede nelle fasi iniziali del progetto, potrebbe essere necessario ritornare al PIA in vari stadi dello sviluppo e della realizzazione del progetto per avere conferma che le soluzioni sono state correttamente realizzate e hanno ottenuto l’effetto desiderato.