DPIA o Data Protection Impact Analysis: di cosa si tratta?

DPIA

Per prima cosa, che cosa si intende per DPIA? DPIA è l’acronimo che sta ad indicare Data Protection Impact Analysis. Di cosa si tratta in concreto? Di una procedura atta a descrivere un trattamento dati e stabilirne così necessità ed adeguatezza oltre che i rischi correlati. Tutto ciò è mirato ad affrontare i rischi stessi in maniera corretta. Non è necessario che la DPIA si concentri su un singolo trattamento, infatti, questa procedura può riguardare trattamenti che presentano analogie e punti comuni in materia di natura, rischi, finalità, modalità.

DPIA: i contenuti

Stando a quanto riportato dall’articolo 35 del General Data Protection Regulation, la DPIA contiene i seguenti elementi:

  • una sistematica descrizione dei trattamenti e delle corrispondenti finalità oltre che, dove possibile, il legittimo interesse del titolare;
  • considerando le finalità del trattamento, una valutazione della proporzionalità e delle necessità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • considerando diritti e legittimi interessi degli interessati, le misure previste per affrontare i rischi includendo le necessarie garanzie di data protection e compliance GDPR.

DPIA, quando è obbligatoria?

Il tema dell’obbligatorietà della valutazione è probabilmente il più spinoso. A questo proposito, Swascan offre un prezioso strumento: l’ infografica DPIA che analizza quando una valutazione d’impatto è obbligatoria o meno. In breve si può riassumere che:

La DPIA è obbligatoria quando:

 “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.”

In particolare nei seguenti casi:

  • valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su trattamento automatizzato e profilazione sulla quale si fondano decisioni che possono implicare conseguenze legali o analoghe per le persone fisiche;
  • trattamento su larga scala di categorie particolare di dati ( dati sensibili );
  • sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

La DPIA non è obbligatoria quando:

  • i trattamenti non presentano un rischio elevato per i soggetti interessati;
  • per un trattamento analogo è già stata condotta una DPIA;
  • i trattamenti sono già stati sottoposti a controllo da parte dell’Autorità di controllo entro maggio 2018 e le caratteristiche del trattamento in questione non sono cambiate.

DPIA: informazioni aggiuntive

La DPIA dev’essere condotta prima che il trattamento sia in essere. Si tratta di una valutazione preventiva soggetta ad aggiornamenti periodici e regolari.

La responsabilità della DPIA è del titolare del trattamento mentre la sua esecuzione pratica è possibile venga svolta da qualcun altro. Il titolare, comunque, è tenuto a monitorare il processo consultandosi regolarmente con il DPO .

Swascan, attraverso consulenza GDPR e consulenza Cybersecurity dedicata, aiuta le aziende in termini di compliance. Il nostro servizio di GDPR Assessment, inoltre, permette di verificare il Compliance gap. Per un free trial dei nostri servizi, schiaccia il seguente pulsante:

Inizia il tuo Free trial!

in collaboration with
CISCO

Swascan

Per far fronte al GDPR, Swascan offre prezioso materiale informativo e pratico in termini di Self-Assessment. Sono disponibili: l’ infografica registro delle attività di trattamento e l’articolo sul registro delle attività oltre a quello relativo al trattamento dati . Inoltre sono disponibili materiali riguardanti il DPO oltre ad un’ infografica DPO dedicata. Molto importante è l’articolo della norma UNI 11697:2017 inerente ai profili professionali regolamentati.

Oltre ad una guida GDPR , è disponibile una dettagliata documentazione riguardo ad uno dei nostri fondatori: Raoul Chiesa ( intervista Raoul Chiesa e video Raoul Chiesa ).

In modo da garantire al tuo business lo strumento più idoneo, Swascan ha sviluppato una speciale piattaforma di CyberSecurity. In Cloud, SaaS e Pay for Use. Puoi consultare immediatamente la nostra brochure: Piattaforma di CyberSecurity e dare un’occhiata più approfondita ai nostri servizi. I nostri quattro servizi coprono ogni bisogno in termini di gestione del rischio e valutazione periodica. In poche parole, se hai bisogno di capire in quali aree concentrare le risorse aziendali gli strumenti ideali sono il Vulnerability AssessmentNetwork Scan, Code Review e il GDPR Self-Assessment ( infografica GDPR ): la nostra piattaforma è al 100% GDPR compliant e permette di valutare il livello di Compliance della propria azienda.