 |
Data protection impact assessment (DPIA o PIA)
Piano di impatto sulla protezione dei dati (PIPD).
La normativa in fase di approvazione prevede la redazione di un piano di impatto sulla protezione dei dati, da effettuarsi obbligatoriamente in taluni casi e per taluni soggetti (mentre per altri viene unicamente dato il suggerimento di adottare tale procedura in qualità di misura idonea a limitare il verificarsi di rischi e violazioni di diritti degli interessati).
Sarà nostro compito informare i nostri clienti circa le modalità attuative non appena appositi decreti o atti equivalenti saranno resi disponibili.
Il nuovo regolamento Europeo introduce il DPIA (Data Protection Impact Assessment) ovvero un Piano di Valutazione d’impatto sui Dati Personali che dovrà essere adottato ogni qualvolta vi sarà una mutazione nell’asset di trattamento (chi tratta quali classi di dati, con quali strumenti/supporti, in quali aree, per quale fine, con quali compiti e responsabilità).
La redazione di questo piano – di difficoltà sicuramente superiore al nostro DPS – è prevista per i titolari che trattino dati che, per natura, scopo, finalità, etc., presentino specifici rischi per i diritti fondamentali degli interessati nonché le libertà personali.
I trattamenti rientranti in detta definizione saranno sicuro oggetto di ulteriore approfondimento da parte del parlamento Europeo che, nel contempo, ha definito casistiche esemplificative:
- sistematica ed estensiva valutazione degli aspetti personali degli interessati, finalizzata all’analisi, o la previsione, della loro situazione economica, posizione, salute, preferenze personali, affidabilità o comportamento, basati su trattamenti automatizzati producenti effetti legali o significativi, sugli interessati;
- informazioni sulla vita sessuale, salute, razza, origine etcnica, al fine di fornire ricerche epidemiologiche o indagini su disturbi mentali o malattie, laddove i dati siano trattati per prendere decisioni riguardanti individui specifici su larga scala;
- monitoraggio accessi aree pubbliche con particolare riferimento ai dispositivi di video sorveglianza a questi scopi asserviti;
- informazioni, analizzate su larga scala, relative a bambini, dati genetici, dati biometrici;
- dati personali che possano arrecare danni alle libertà fondamentali ed alla dignità personale degli interessati; da notare che nel comma della normativa viene indicato che il titolare al trattamento – o il responsabile ove eletto – consultano l’autorità Garante prima dell’inizio di trattamenti “pericolosi” al fine di mitigare i rischi “importanti” identificati dal DPIA; ne consegue un “riferimento circolare” che si può esemplificare con il seguente enunciato “il DPIA deve essere fatto nei casi previsti, tra i quali il caso in cui il DPIA indichi la presenza di importanti rischi da mitigare”; in ultima analisi sembra che almeno un DPIA per azienda dovrebbe essere valutato come possibilità ed, eventualmente, implementato.
|
|
