Un approccio basato sulla valutazione del rischio
La valutazione d’impatto sulla protezione dei dati, conosciuta anche come Data Protection Impact Assessment (DPIA), è un regolamento generale con un approccio basato sulla valutazione del rischio. L’accelerazione della Digital Transformation, e di conseguenza l’aumento di sistemi collegati in rete e dotati di Intelligenza Artificiale, modificano in modo sostanziale i rischi presenti in azienda. Ciò necessita una revisione ed un aggiornamento delle procedure di sicurezza aziendale.
Responsabilità per il trattamento di dati personali
Attraverso questa valutazione della privacy e dei rischi ad essa correlati, è possibile determinare la misura di responsabilità del titolare o del responsabile del trattamento dei dati personali. In campo GDPR il rischio è inteso come impatto negativo sulle libertà e sui diritti degli interessati. Più precisamente si rileva “se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo”.
Nel momento in cui un trattamento di dati sensibili implica un rischio elevato per i diritti e le libertà delle persone coinvolte, i titolari si vedono obbligati, secondo il regolamento UE 2016/679, a svolgere una preliminare valutazione d’impatto in modo da esprimere la propria responsabilizzazione prima di procedere al trattamento.
Soglie di rischio da valutare
Complementare alla valutazione del rischio, un’azienda per non incappare in sanzioni e trattare a norma di legge i dati che circolano all’interno delle proprie reti ed archivi deve tener conto di altre due norme fondanti tale regolamento: la valutazione di soglia della privacy e la valutazione di impatto sulla privacy.
La “valutazione di soglia della privacy”, altresì definita Privacy Threshold Assessment, aiuta ad identificare le informazioni personali, generalmente rientranti nelle categorie di Informazioni di Identità personale (PII), Informazioni Personali Sensibili (SPI) ed Informazioni sulla Salute Pubblica (PHI).
La “valutazione di impatto sulla privacy” invece, conosciuta come Privacy Impact Assessment (PIA), è un’analisi che serve per verificare come le informazioni personali in possesso di una determinata azienda vengono utilizzate, condivise e conservate. In questo caso è necessario disporre di un progetto PIA che vada ad elencare e a giustificare la necessità di utilizzo dei dati sensibili sopra citati.
In un mondo in cui cloud e digitalizzazione rientrano ormai nello standard delle infrastrutture aziendali, è consigliato mantenere l’attenzione su una compliance GDPR completa, che vada sia ad applicare la normativa vigente, sia a salvaguardare l’azienda da un punto di vista tecnico.
Per valutare se la tua azienda è conforme alle normative 2016/679 in materia Privacy e Data Protection, richiedi un check gratuito oppure un colloquio di approfondimento.