Biometria, geolocalizzazione, cloud, videosorveglianza, IoT, big data, smart city, droni, sorveglianza di massa sono il segno evidente dell’evoluzione tecnologica e della globalizzazione dei nostri tempi. Tali tecnologie aprono sorprendenti scenari di business, ma comportano anche nuove sfide per la protezione dei dati personali.
Nell’introduzione di questi nuovi servizi che comportano l'uso di dati personali, è fondamentale considerare tutti gli aspetti della privacy per assicurare un livello coerente di protezione delle persone fisiche. Tale approccio dà effetto alla Privacy By Design e Privacy By Default, due principi chiave del GDPR.
Ma il Regolamento (UE) 2016/679 non si ferma qui, ha introdotto a tal proposito la valutazione d'impatto privacy (Data Privacy Impact Assessment di seguito “DPIA”) che assicura una buona comprensione dei potenziali rischi e relativi elementi di miglioramento.
QUANDO?
Nel caso di implementazione di un prodotto o servizio tramite una nuova tecnologia sarà bene eseguire la valutazione d’impatto privacy nella fase iniziale del processo di progettazione. In questo modo sarà possibile utilizzare i risultati ottenuti per eseguire eventuali adeguamenti che dovranno essere apportati rapidamente, prima che uno qualsiasi dei rischi possa verificarsi. Tale scelta è vantaggiosa anche dal punto di vista economico: è meglio infatti modificare un'idea che modificare un prodotto o servizio erogato.
Se invece il servizio è già in essere, e si vuole sapere di più sui rischi relativi ai dati personali coinvolti, è comunque utile svolgere un DPIA. In questo modo potranno essere implementate eventuali modifiche al prodotto o al servizio che ne aumenteranno il livello di compliance con la normativa sulla privacy evitando i rischi associati alla non conformità.
PERCHÉ?
Effettuando una valutazione dell'impatto sulla privacy, si comprendono i rischi relativi alla protezione dei dati associati al servizio o al prodotto.
CONTENUTO MINIMO
Affinchè una DPIA sia compiutamente svolta e, allo stesso tempo, sia in grado di adempiere alle finalità che le sono affidate è necessario che abbia un contenuto minimo:
- una panoramica generale dei trattamenti in cui le operazioni di trattamento e le relative finalità sono descritte in modo completo, chiaro e non generico;
- una valutazione della necessità e della proporzionalità dei trattamenti in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure previste per affrontare i rischi e dimostrare la conformità al GDPR.
Leggi tutti i nostri articoli sul GDPR
8 marzo 2019