Il Regolamento Europeo per la Privacy GDPR introduce la cosiddetta PIA “Valutazione d’impatto”.
Articolo 35
Valutazione d’impatto sulla protezione dei dati
1.Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
La Valutazione d’impatto è necessaria e richiesta per quei trattamenti che possono essere considerati “a rischio”, in base al tipo e alla modalità dei dati trattati.
La PIA in Europa
Se per l’Italia è una novità assoluta, per molti degli altri paesi europei non lo è, poiché già da anni è una prassi richiesta dai vari organismi di controllo nazionali. Alcuni esempi:
- FRANCIA: Il CNIL (l’equivalente del garante per la Privacy italiano) prevede metodologie e linee guida per la redazione della PIA già dal 2015 (https://www.cnil.fr/fr/node/15798)
- UK: L’ICO (il garante britannico), prevede linee guida molto simili addirittura dal 2014 (https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf)
- SPAGNA: qui la PIA non è obbligatoria ma le aziende che hanno implementato il modello pubblicato nel 2014 avranno sicuramente un vantaggio con l’entrata in vigore del GDPR (https://www.technologylawdispatch.com/2014/04/privacy-data-protection/spains-aepd-publishes-draft-privacy-impact-assessment-guide/)
La PIA nel mondo
Spostando lo sguardo oltre i confini europei possiamo trovare un ottimo esempio negli USA dove una delle prime apparizioni della PIA risale addirittura al 2002 con l’introduzione dell’ E-Government Act of 2002 (https://www.state.gov/privacy/c67206.htm).
Anche spostandoci verso oriente, abbiamo dei rimandi importanti alla PIA. Un esempio molto particolare è il gruppo FESTIVAL (FEderated interoperable SmarT ICT services deVelopment And testing pLatform) che raggruppa importanti partner Giapponesi ed Europei. Qui, si parlava di PIA già nel 2015.
E’ importante ricordare che il Nuovo regolamento Europeo non impatterà soltanto i paesi europei ma anche tutti quegli stati extra UE che trattano dati di soggetti europei. Considerando l’elevatissimo scambio di beni e servizi fra tutti i paesi del mondo grazie ad un mercato molto più libero e alle innovazioni tecnologiche, possiamo dire che il GDPR può essere considerato un regolamento “worldwide”.
Le linee guida
L’Italia dovrà probabilmente impegnarsi di più rispetto agli altri paesi per adattarsi al nuovo regolamento non avendo già questa buona abitudine.
