La gestione dei processi aziendali: la Valutazione Impatto Privacy (VIP)

La gestione dei processi aziendali: la Valutazione Impatto Privacy (VIP)

Le figure della Privacy e il DPO

Il Nuovo Regolamento Europeo promuove una nuova modalità di approccio alla protezione dei dati, simile per molti versi a quello utilizzato nei sistemi di gestione, ovvero un approccio basato sulla Valutazione del Rischio.

Il principio su cui si basa questo approccio è che, prima di affrontare un qualunque processo aziendale che comporti l’utilizzo di dati, di qualsiasi natura (dati personali, sensibili, giudiziari) è necessario che il Titolare, il Responsabile e/o il DPO designato, dedichi la giusta attenzione alla protezione dei dati, tenendo conto delle tecnologie e dei mezzi utilizzati per il trattamento degli stessi e valutando i rischi a cui l’organizzazione si espone con un determinato trattamento.

L’obiettivo è quello di mettere in atto strategie per mitigare o diminuire i rischi attraverso interventi tecnici, organizzativi ed adeguate misure di sicurezza.

L’Art. di riferimento è il 35 del UE 679/2016.
Il Garante Italiano nei prossimi mesi pubblicherà un elenco esaustivo delle realtà per le quali sarà richiesta la VIP. Il Regolamento e le Linee Guida elaborate definiscono già alcuni contesti per cui sarà obbligatorio effettuarla, ovvero in tutti i casi di trattamento dei dati:

  • effettuato su larga scala;
  • relativi a persone vulnerabili (es. minori)
  • sensibili e giudiziari (es. strutture sanitarie/ospedaliere);
  • basato su un monitoraggio sistematico (reti metropolitane, aeroporti, società che gestiscono impianti di videosorveglianza);
  • finalizzato alla profilazione (es. offerta servizi in linea con i gusti, preferenze di utenti)
  • finalizzato all’innovazione o applicazione tecnologica od organizzativa (es. creazione o introduzione di app, software, servizi tecnologici)
  • trasferimento dei dati al di fuori dell’unione europea (es. con servizi in cloud)

La VIP dovrà essere un documento redatto prima dell’inizio di un processo di trattamento dati, imputabile peraltro sempre al Titolare per poter dimostrare la conformità al Regolamento ed esibire in caso di accertamenti da parte delle Autorità preposte.

Il Regolamento e le linee guida ad oggi emanate suggeriscono di adottare in fase di analisi ed elaborazione documentale un metodo circolare, che dovrà comprendere:

  • Una descrizione sistematica dei trattamenti previsti e la loro finalità, compreso, ove applicabile, l’interesse legittimo a perseguire tale trattamento;
  • una valutazione della necessità e proporzionalità dei dati in rapporto alle finalità;
  • una valutazione dei rischi a cui saranno soggetti i dati;
  • le misure che si intendono adottare per affrontare i rischi, comprese le garanzie per le libertà ed i diritti degli interessati.

In conclusione, a prescindere dall’obbligo o meno, la VIP deve essere vista come uno strumento di analisi dei processi aziendali ed un’opportunità di miglioramento degli stessi.

 

Contattaci e approfitta della nuova promozione valida fino al 30/01/2018. Ti verrà riservato il 20% di sconto sulla redazione delle pratiche e il 10% di sconto sul servizio di assistenza.

Leggi l' informativa completa ai sensi dell'art.13 del D.Lgs 196/2003 inerente il trattamento dei dati personali

Confermo di aver letto l'informativa sulla privacy, di accettarne le condizioni e di autorizzare il trattamento dei dati personali ai sensi del D. Lgs. 196/2003

 Si No

Desidero iscrivermi alla newsletter di ConsulGroup

 

Non perderti per strada, fai il prossimo passo!! Buona Lettura.