Valutazione di impatto DPIA GDPR e la gestione del rischio

[GUIDA] Valutazione d’impatto sulla protezione dei dati (DPIA)

Il Garante della Privacy italiano ha prodotto un utile documento dedicato alla valutazione d'impatto sulla protezione dei dati (DPIA).

Il Garante della Privacy italiano ha prodotto un utile documento dedicato alla valutazione d’impatto sulla protezione dei dati (DPIA), liberamente scaricabile cliccando qui.

Cos’è la valutazione d’impatto sulla protezione dei dati (DPIA)

Il DPIA o valutazione di impatto è previsto dall’art. 35 del Regolamento Europeo n.2016/679 (GDPR) e consiste nell’applicazione di un processo volto a descrivere i  trattamenti, valutarne la necessità e aiutare a gestire i rischi per i diritti delle persone fisiche derivanti dal trattamento, valutandoli e determinando le misure per indirizzarli.

Il DPIA è molto importante in quanto costituisce la prova affidabile della compliance verso la GDPR e il trattamento dei dati.

Alcuni esempi di trattamenti previsti dal GDPR

  1. valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  3. sorveglianza sistematica su larga scala di una zona accessibile al pubblico

Lo stesso Regolamento Europeo (GDPR) sottolinea il fatto che l’elenco non è esaustivo.

GDPR, individuazione e gestione del rischio

Che cosa si intende per rischio

Per “rischio” si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità per i diritti e le libertà

Gli elementi da considerare nell’individuazione del rischio

  • Origine
  • Natura
  • Gravità
  • Probabilità
  • Impatto sui diritti e le libertà degli interessati

Gli errori da evitare

  1. Non bisogna confondere la gestione dei rischi con il tema delle misure di sicurezza
  2. Il rischio non si riferisce al titolare ma al soggetto interessato

La valutazione del rischio deve riguardare non solo la sicurezza del trattamento ma anche gli effetti complessivi del trattamento stesso.

Aspetti riguardanti la sicurezza del trattamento

  • Disponibilità: distruzione, indisponibilità e perdita
  • Integrità: alterazione
  • Riservatezza: divulgazione e accesso

Effetti complessivi del trattamento

  • Danno per la reputazine
  • Discriminazione
  • Furto di identità
  • Perdite finanziarie
  • Danni fisici o psicologici
  • Perdita del controllo dei dati
  • Impossibilità di esercitare diritti, servizi o opportunità
  • Altri svantaggi economici o sociali

Le misure per la gestione del rischio – accountability

  • Qualità dei dati
  • Cifratura
  • Conservazione adeguata
  • Anonimizzazione e minimizzazione dei dati
  • Misure tecnologiche adeguate, quali policy di sicurezza logiche e fisiche, aggiornamenti servizi e software, test, controllo accessi e tracciamento delle operazioni (analisi dei log di sistema e degli accessi).
  • Misure organizzative, quali l’identificazione dei ruoli, governance, istruzioni, formazione, procedure, audit, strumenti di
    controllo per gli interessati e contatti

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi
Questo articolo parla di:
Valutazione d'impatto sulla protezione dei dati (DPIA)
Titolo
Valutazione d'impatto sulla protezione dei dati (DPIA)
Descrizione
Il Garante della Privacy italiano ha prodotto un utile documento dedicato alla valutazione d'impatto sulla protezione dei dati (DPIA).
Autore
Publisher
InfoGDPR
Logo Publisher

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *