EIPD: come automatizzare la valutazione d'impatto del GDPR

L' EIPD o valutazione d'impatto è una delle novità del GDPR. Avete identificato un rischio per la protezione dei dati nella vostra azienda? Scoprite cosa dovete fare per ciascuna delle operazioni di trattamento interessate.

La valutazione d'impatto, nota anche come PIA - Privacy Impact Assessment - consiste nell'esecuzione di uno studio completo con l'obiettivo di valutare l'impatto di una o più operazioni di trattamento dei dati sulla privacy.

Scoprite i concetti chiave per la conformità al GDPR e le soluzioni migliori per essere conformi.

Vedere tutti i software Sistemi informativi

Che cos'è una PIA?

La PIA o Valutazione d'impatto sulla protezione dei dati è una delle disposizioni del nuovo quadro europeo sulla protezione dei dati o GDPR (Regolamento europeo sulla protezione dei dati).

Il DPA deve descrivere il trattamento e le sue finalità, stimare la validità del trattamento in base alle finalità, identificare i rischi e dettagliare le azioni per la gestione dei rischi.

"Le autorità raccomandano vivamente di effettuare un'analisi d'impatto, che dovrebbe essere avviata prima di iniziare il trattamento dei dati".

Tuttavia, la valutazione d'impatto del GDPR deve essere mantenuta e aggiornata durante l' intero ciclo di vita del trattamento.

Perché condurre una valutazione d'impatto del GDPR?

Una valutazione d'impatto è il modo migliore per verificare e controllare la conformità di un trattamento e per prevenire un rischio legato alla perdita o all'esposizione dei dati trattati.

Condurre una valutazione del rischio consente ai responsabili del trattamento di:

• Determinare la causa di un rischio e stimare la probabilità che si concretizzi;

• migliorare il trattamento dei dati in modo da rispettare i diritti delle persone;

• Soddisfare le condizioni tecniche e organizzative necessarie per il rispetto del regolamento;

• Dimostrare la gestione del rischio alle autorità.

Mentre la valutazione d'impatto del GDPR è raccomandata per tutte le aziende che raccolgono e gestiscono dati, in molti casi la DPA è obbligatoria e il mancato rispetto di questa disposizione costituisce una grave violazione.

Articolo 35 del GDPR: quando è obbligatoria la valutazione d'impatto?

"Stabilisce che se un trattamento può "comportare un rischio elevato per i diritti e le libertà delle persone fisiche", deve essere effettuata una DPOI prima dell'attuazione del trattamento. Questo obbligo è in linea con il principio della privacy, che mira ad analizzare un trattamento fin dalla sua fase di progettazione e a garantire un'adeguata gestione del rischio, oltre a rispettare i principi di necessità e proporzionalità".

Articolo 35, paragrafo 3: trattamenti che possono comportare un rischio elevato.

Profilazione automatizzata

(a) "valutazione sistematica e completa di aspetti personali relativi a persone fisiche che si basa su un trattamento automatizzato, come la profilazione, e sulla cui base vengono prese decisioni che producono effetti giuridici per le persone fisiche o incidono significativamente su di esse in modo analogo";

Lavorazione su larga scala

(b) "trattamento su larga scala di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o di dati personali relativi a condanne e reati di cui all'articolo 10",

Si tratta del trattamento di dati sensibili (dati genetici, dati relativi alla salute, dati relativi alla razza e all'origine etnica, dati personali relativi a condanne penali e reati, ecc.)

Utilizzo di tecnologie invasive

(c) "osservazione sistematica su larga scala di un'area accessibile al pubblico".

Videosorveglianza, droni, dati biometrici.

Altre operazioni di trattamento che richiedono un DPI

• Dati di minori di 14 anni;

• Trasferimenti di dati, in particolare nel caso di un trasferimento internazionale verso un paese al di fuori dello Spazio economico europeo;

• Dati personali non anonimizzati o non anonimizzati;

• Qualsiasi trattamento che comporti la raccolta di dati altamente sensibili;

• qualsiasi trattamento che comporti una raccolta significativa di dati;

• incrocio di dati, modifica delle informazioni trattate o delle finalità del trattamento;

• Trattamento di persone vulnerabili (pazienti, anziani, bambini, ecc.).

Esempio di EIPD: trattamento che richiede una valutazione

Un'azienda attua un'operazione di trattamento pubblicitario con l'obiettivo di raccogliere i dati di geolocalizzazione di milioni di individui per creare profili pubblicitari e mostrare loro pubblicità personalizzata in base alla loro posizione geografica. Questo trattamento rientra nella categoria dei trattamenti su larga scala di dati sensibili (geolocalizzazione). È necessaria una valutazione dell'impatto sulla protezione dei dati.

Chi è coinvolto nell'esecuzione del DPA?

La consulenza del RPD nell'esecuzione della valutazione d'impatto sulla protezione dei dati sarà essenziale per evitare rischi.

Il responsabile del trattamento ha l'obbligo di garantire la conformità al GDPR.

Se è stato nominato un DPO (Data Protection Officer), questi deve consigliare il titolare del trattamento e verificare l'esecuzione della valutazione d'impatto.

Se un subappaltatore è coinvolto nel trattamento, deve fornire la sua assistenza e le informazioni necessarie per l' esecuzione della PIA .

Fare o non fare la PIA? → L'AEPD e l'analisi dei rischi sono la risposta.

Non è ancora chiaro se le operazioni della vostra azienda richiedano una valutazione d'impatto? Nessun problema! Una volta effettuata l' analisi del rischio GDPR non avrete più dubbi.

Se non sapete cosa sia un'analisi del rischio o come eseguirla, potete consultare il nostro articolo sull'analisi del rischio GDPR.

Lo scopo di questo esercizio, che è obbligatorio, è quello di determinare l'esistenza di circostanze che richiedono successivamente una valutazione d'impatto del GDPR.

Contenuto della valutazione d'impatto del GDPR

La guida EIPD dell'Agenzia spagnola per la protezione dei dati mostra in dettaglio la metodologia da seguire per preparare un EIPD in conformità ai requisiti del GDPR.

La valutazione è suddivisa in 3 fasi principali:

• Descrizione (dall'acquisizione alla distruzione dei dati) e contesto del trattamento (liceità, necessità e proporzionalità);

• Identificazione, valutazione e gestione del rischio;

• Conclusione (piano d'azione) e convalida (conclusione favorevole o sfavorevole).

Allo stesso modo, l'AEPD raccomanda che il piano d'azione includa:

• la descrizione delle misure di controllo

• la persona responsabile dell'attuazione

• termine di attuazione.

Dovrebbe inoltre essere indicato se la PIA è stata effettuata su una nuova operazione di lavorazione o su un'operazione di lavorazione esistente.

1. Nel primo caso, il piano d'azione sarà attuato prima dell'inizio del trattamento; questo principio è noto come protezione dei dati fin dalla progettazione.

2. Nel secondo caso, il responsabile del trattamento deve fissare un termine per l'attuazione del piano d'azione sul trattamento in corso. Se tale termine non viene rispettato e il rischio non è accettabile, il responsabile del trattamento può e deve richiedere l'interruzione del trattamento.

Articolo 36 del GDPR: consultazione dell'AEPD?

"Il responsabile del trattamento consulta l'autorità di controllo prima di procedere al trattamento qualora una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35 dimostri che il trattamento comporterebbe un rischio elevato se il responsabile del trattamento non adotta misure per attenuare il rischio".

Se la conclusione del PIA include un rischio elevato, il responsabile del trattamento può utilizzare misure di controllo aggiuntive per ridurre il rischio a un livello accettabile. Tuttavia, se non è possibile ridurre il rischio, il trattamento non può essere effettuato e il responsabile del trattamento è tenuto a consultare l'autorità di controllo.

Idealmente, l'Autorità di controllo definirà le condizioni e le misure di controllo per il trattamento. Tuttavia, in tal caso, l'Autorità di controllo può anche indicare che il trattamento non può essere effettuato in nessun caso.

La valutazione d'impatto sulla protezione dei dati è un processo approfondito, completo ed esaustivo in cui vengono valutati tutti gli aspetti del trattamento: dall'inizio alla fine, tenendo conto di tutte le variabili. Fortunatamente, oggi sono disponibili strumenti ad alte prestazioni per automatizzare e ottimizzare i processi aziendali e gli obblighi di legge.

Strumenti di valutazione dell'impatto sulla protezione dei dati: 2 esempi

Soluzione per la privacy dei dati

Data Privacy Solution è una soluzione 100% spagnola per la protezione dei dati nell'ambito del GDPR e del LOPDGDD. Lo strumento è stato progettato per tutti i tipi di aziende e consulenti.

In che modo Data Privacy Solution aiuta con l'EIPD?

Data Privacy Solution consente la generazione e la gestione di EIPD da parte di più utenti, compreso il DPO per la revisione. Grazie al modello SaaS, il DPO e tutti gli utenti hanno accesso da qualsiasi luogo e in qualsiasi momento.

Questo software GDPR indica se, per un trattamento di dati, è sufficiente un'analisi dei rischi o se è necessario effettuare un DPP. Inoltre, anche se è richiesta solo l'analisi dei rischi, l'utente può scegliere di eseguire anche il trattamento dei rischi o addirittura l'intera PIA.

Sia l'analisi dei rischi che il PPRD si basano sulle linee guida e sulle buone pratiche dell'AEPD (Agenzia spagnola per la protezione dei dati).

I legali della privacy e gli ingegneri della sicurezza informatica sono responsabili della creazione dello strumento completo.

Data Privacy Solution

VEDI SOFTWARE

Innovativa Soluzione per la Privacy dei Dati Aziendali

Per saperne di più su Data Privacy Solution

Smart GDPR

La soluzione online (SaaS) Smart GDPR soddisfa tutti i requisiti del regolamento europeo.

30 anni di esperienza nella protezione dei dati, nella sicurezza delle informazioni e nella tutela della privacy supportano la legittimità di Smart GDPR come una delle migliori soluzioni GDPR.

Ad oggi, Smart GDPR riunisce in un 'unica piattaforma tutte le risorse necessarie per la conformità al GDPR !

Come fare una valutazione d'impatto con Smart GDPR?

Smart GDPR offre un modulo che facilita la valutazione del rischio GDPR Il modulo uno è interamente dedicato a:

• Audit.

• Analisi del rischio.

• Valutazione dell'impatto (PIA).

• Piani d'azione semi-automatici.

• Gestione del progetto.

Il modulo ha 1460 punti di controllo del trattamento eseguiti da un algoritmo. Di conseguenza, il risparmio di tempo è notevole e i risultati sono accurati. Smart GDPR esegue in un'ora ciò che normalmente richiederebbe circa cinque ore.

Il piano d'azione viene generato automaticamente (in base alle risposte), accompagnato da un elenco dettagliato delle misure di controllo da attuare.

A ogni risposta viene assegnato automaticamente un punteggio. In caso di punteggio inferiore alla media, la risposta deve essere sistematicamente rivista dal titolare del trattamento o dal DPO. È inoltre possibile indicare se si desidera esaminare tutte le risposte.

Smart GDPR +: copre un rischio finanziario fino a 90 milioni di euro in caso di inadempienza da parte vostra.

Vedere tutti i software Sistemi informativi

Automatizzare il processo di valutazione

Gli strumenti digitali, le legislazioni sulla protezione dei dati e i processi aziendali sono in continua evoluzione; l' implementazione di una soluzione SaaS vi consentirà di stare al passo con i vostri obblighi.