La PIA (valutazione d’impatto): una buona abitudine worldwide (ma non italiana)


Il Regolamento Europeo per la Privacy GDPR introduce la cosiddetta PIA “Valutazione d’impatto”.

Articolo 35
Valutazione d’impatto sulla protezione dei dati

1.Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

La Valutazione d’impatto è necessaria e richiesta per quei trattamenti che possono essere considerati “a rischio”, in base al tipo e alla modalità dei dati trattati.

 

La PIA in Europa

Se per l’Italia è una novità assoluta, per molti degli altri paesi europei non lo è, poiché già da anni è una prassi richiesta dai vari organismi di controllo nazionali. Alcuni esempi:

La PIA nel mondo

Spostando lo sguardo oltre i confini europei possiamo trovare un ottimo esempio negli USA dove una delle prime apparizioni della PIA risale addirittura al 2002 con l’introduzione dell’ E-Government Act of 2002 (https://www.state.gov/privacy/c67206.htm).

Anche spostandoci verso oriente, abbiamo dei rimandi importanti alla PIA. Un esempio molto particolare è il gruppo FESTIVAL (FEderated interoperable SmarT ICT services deVelopment And testing pLatform) che raggruppa importanti partner Giapponesi ed Europei. Qui, si parlava di PIA già nel 2015.

E’ importante ricordare che il Nuovo regolamento Europeo non impatterà soltanto i paesi europei ma anche tutti quegli stati extra UE che trattano dati di soggetti europei. Considerando l’elevatissimo scambio di beni e servizi fra tutti i paesi del mondo grazie ad un mercato molto più libero e alle innovazioni tecnologiche, possiamo dire che il GDPR può essere considerato un regolamento “worldwide”.

Le linee guida

L’Italia dovrà probabilmente impegnarsi di più rispetto agli altri paesi per adattarsi al nuovo regolamento non avendo già questa buona abitudine. Qui di seguito potete trovare il documento pubblicato il 4 aprile 2017 con le linee guida per la PIA relativa al GDPR.