Attraverso la Valutazione mettiamo in atto un processo codificato e strutturato in fasi, dunque uno strumento operativo, che aiuterà l’Organizzazione ad analizzare, individuare e ridurre i rischi relativi alla privacy degli individui interessati coinvolti.
La valutazione d’impatto del trattamento dei dati personali costituisce parte integrante dell’approccio Privacy by Design, ed aiuta ad assicurare che i problemi potenziali siano identificati negli stadi iniziali del progetto quando la possibilità di indirizzarli è spesso più efficace e meno costosa. Le sue fasi devono avere un ciclo ricorsivo per attualizzare la valutazione fatta inizialmente a mano a mano che si procede con il progetto e vengono attuate le misure pianificate.
Gli interventi che verranno apportati in fase di adeguamento saranno di tipo documentale, organizzativo, formativo e tecnico-sistemistico.
Tali azioni saranno decise ed intraprese dall’Organizzazione oggetto di verifica, alcune autonomamente mentre altre saranno a noi delegate, entro un periodo di tempo concordato. L’Organizzazione oggetto di valutazione dovrà tenere informata la persona che gestisce il servizio(o il gruppo di valutazione) sullo stato di queste azioni. Dovrebbe essere verificato il completamento e l’efficacia delle azioni correttive. Questa verifica potrà far parte di una valutazione successiva.
Le fasi del processo PIA possono essere condotte e registrate secondo il seguente schema:
Valutazione preliminare di opportunità per un PIA
Questa fase serve ad un’organizzazione a:
– Spiegare ciò che il progetto intende realizzare, quali sono i benefici attesi per l’organizzazione, per gli individui e per le altre parti;
– Decidere, in base ad un insieme di domande mirate di screening, se una PIA sia necessaria;
– Dimensionare le risorse a seconda dell’entità del progetto e il tempo necessario alla valutazione;
– Capire gli impatti potenziali e i passi che potrebbero essere richiesti per identificare e ridurre il rischio;
Una volta che sia stata identificata la necessità di svolgere una PIA si esegue la valutazione.
Descrizione dei flussi di informazioni e coinvolgimento dei partecipanti
Una valutazione approfondita dei rischi e dei relativi impatti per la privacy è possibile solo se si evidenziano gli elementi che caratterizzano il trattamento dei dati. Quindi descriveremo: quali informazioni sono utilizzate; come vengono trattate nelle singole fasi; a cosa servono, ovvero per quale finalità; da chi sono ottenute, a chi sono comunicate; chi ne deve avere accesso.
Laddove opportuno si potrà prevedere l’eventualità di ottenere contributi anche dalle persone che sono direttamente impattate dal nuovo servizio allo scopo di raccogliere riscontri da parte di chi ha una percezione pratica degli effetti.
Identificazione dei rischi privacy e di quelli correlati
In questa fase valuteremo gli aspetti di Privacy che espongono il progetto in esame a rischi di Privacy.
Un principio chiave è che il processo PIA è nell’insieme una forma di Risk Assessment e di Risk Management per quanto riguarda le implicazioni specifiche di Privacy. Dunque l’Organizzazione deve considerare come il progetto potrà generare eventuali problemi alla Privacy degli interessati che, a loro volta, si ripercuoteranno sulla stessa organizzazione se non indirizzati correttamente.
Ad esempio un progetto che è intrusivo sul fronte del pubblico aumenta anche i rischi di multe, di danni reputazionali, o di perdite di business se rilasciato con carenze o soluzioni inappropriate.
Individuazione delle soluzioni e delle misure
In questa fase di identificheremo quali soluzioni possono essere intraprese per i rischi identificati. Il Rapporto PIA offre una serie di possibili opzioni per indirizzare ciascun rischio(anche se va considerato che lo scopo non è quello di eliminare completamente l’impatto ma è quello di ridurre l’impatto ad un livello accettabile).
Approvazione delle decisioni e registrazione dei risultati
Per le soluzioni che si deciderà di portare avanti, è opportuno tener traccia dei passi seguiti nel processo decisionale, compreso chi li abbia approvati. Parimenti, se si decidesse di accettare un rischio, dovrebbe essere esplicita l’argomentazione sostenuta e l’assunzione di responsabilità.
Tutto questo producendo un report finale, per riassumere il processo e i passi compiuti per mitigare il rischio privacy e per consentire di ricostruire a posteriori i motivi delle scelte fatte sulla base dei rischi individuati.
Si consideri una DPIA come una forma di comunicazione e di trasparenza verso gli interessati.
Benefici per il Cliente
– Riduzione significativa dell’impegno di risorse interne, che possono in tal modo concentrarsi maggiormente sulla missione aziendale;
– Qualità ed esperienza del supporto;
– Gli interventi possono essere “diluiti” nel corso dell’anno evitando attività frettolose e a rischio di errori in prossimità delle scadenze.