Privacy Impact Assessment (PIA): le linee guida

Come noto il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GDPR ) pone uno specifico requisito in materia di Valutazione di Impatto sulla Protezione dei  dati (DPIA).

Infatti il  GDPR  alla “Sezione 3 Valutazione d’impatto sulla protezione dei dati e consultazione preventiva”,  “Articolo 35 Valutazione d’impatto sulla protezione dei dati”, recita al  comma  1: ”Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”

Lo standard ISO/IEC 29134: 2017 “ Information technology — Security techniques — Guidelines for privacy impact assessment” fornisce utili linee guida per lo svolgimento della valutazione di impatto sulla protezione dei dati (“privacy impact assessment “ o PIA ), linee guida  allineate alle indicazioni fornite dal  Gruppo di Lavoro ex art. 29 in tema di Data Protection Impact Assessment (DPIA).

In particolare lo standard ISO 29134 considera la PIA come un processo che deve iniziare prima dell’effettuazione del trattamento dei dati personali,. quando vi è ancora la possibilità di indirizzare il  trattamento stesso. Tale  processo considera anche l’impatto potenziale degli asset utilizzati per il trattamento dei dati quali altri processi, servizi IT e relativa infrastruttura IT (HW, SW, connettività in un’ottica di “privacy by design”.  Il risultato del processo di valutazione di impatto è quindi un report (“PIA Report”).

Entrando maggiormente nel merito dello standard ISO 29134, questi alla Clausola 5 (“5 Preparing the grounds for PIA”), oltre a evidenziare i benefici della PIA,  fornisce le linee guida per definire gli obiettivi di comunicazione del PIA Report  e per definire le responsabilità nello svolgimento della PIA.

La Clausola 6  (“6 Guidance on the process for conducting a PIA”) fornisce  le linee guida applicabili al processo di valutazione di impatto, con riferimento a considerazioni di carattere generale (“6.1 General”), alla determinazione se la PIA è necessaria per quello specifico trattamento di dati (“6.2 Determine whether a PIA is necessary (threshold analysis)”), alla preparazione dello svolgimento della PIA (“6.3 Preparation of the PIA”), allo svolgimento della PIA (“6.4 Perform the PIA”) ed alle azioni a seguire (“6.5 Follow up the PIA”).

La Clausola 7 (“7 PIA report”) fornisce infine  le linee guida per predisporre il Report di Valutazione di Impatto con riferimento ad aspetti generali (“7.1 General”), alla struttura del report (“7.2 Report structure”), allo scopo (“7.3 Scope of PIA”), ai requisiti (“7.4 Privacy requirements”), alla valutazione (“7.5 Risk assessment) ed al trattamento (“7.6 Risk treatment plan”) dei rischi, alle decisioni conseguenti  (“7.7 Conclusion and decisions”) ed alla sintesi del report (“7.8 PIA public summary”).
Fonte: Minerva Group Service