,

Codice #PIA: Privacy Impact Assessment, di che si tratta?

L’art. 35 del Regolamento Privacy #GDPR introduce la valutazione d’impatto privacy o privacy impact assessment (PIA), a che serve e come va effettuata?

 

La PIA è una procedura volta a stimare l’incidenza che un determinato processo, servizio o prodotto possono avere sulla privacy al fine di adottare preventivamente le soluzioni opportune per ridurre o, ove possibile, eliminare tale impatto. La valutazione deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Tali trattamenti ricomprendono non solo tecnologie innovative come il machine learning e l’intelligenza artificiale, ma anche i sistemi automatizzati di valutazione del merito creditizio o i sistemi di videosorveglianza richiedono l’esecuzione della PIA.

La PIA costituisce uno strumento valutativo che opera ex ante nei processi di analisi del rischio, trovando collocazione nella fase preliminare dello sviluppo del prodotto/servizio, prima ancora che il piano di realizzazione venga definitivamente delineato, quando i contorni del progetto sono sufficientemente stabiliti. Le soluzioni di privacy by design specifiche potranno successivamente essere implementate solo in caso di giudizio positivo del PIA in termini di conformità alle disposizioni a tutela della privacy.

La valutazione contiene almeno:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l’interesse legittimo perseguito dal titolare del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati;
  4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Il Regolamento sceglie, dunque, strategie di tutela sostanziale incentrate sulla valutazione d’impatto  privacy che, unitamente ad altri adempimenti formali come la tenuta dei registri del trattamento, sostituisce l’obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali e si inserisce nel principio di responsabilizzazione. La PIA dovrà essere eseguita al momento della progettazione del prodotto/servizio e successivamente a seguito di ogni modifica dello stesso o delle circostanze che incidono sullo stesso, come ad esempio il numero di clienti su cui un processo automatizzato viene utilizzato.

@TommyRicci05

Se ti è stata utile questa analisi, ricambia condividendo sui tuoi canali #Social, Be Influent!

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.