La valutazione di impatto (DPIA, Data Protection Impact Assessment) è lo strumento per stimare i potenziali danni sulla privacy da parte di un processo, di un sistema di informazione, di un programma software, di un dispositivo o altra iniziativa che elabori i dati personali (PII, Personally Identifiable Information) e, in consultazione con le parti interessate, per intraprendere azioni, se necessario, al fine di trattare i rischi.
La valutazione d’impatto è, dunque, parte integrante del processo di trattamento del rischio.
Indice degli argomenti
Cos’è la valutazione di impatto e quando effettuarla
Il Regolamento generale sulla protezione dei dati (GDPR) non richiede la realizzazione di una VdI sulla protezione dei dati per ciascun trattamento che può presentare rischi per i diritti e le libertà delle persone fisiche.
La realizzazione di una valutazione d’impatto sulla protezione dei dati è obbligatoria soltanto qualora il trattamento “possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, §1, illustrato dall’art. 35, §3, e integrato dall’art. 35, §4).
Essa è particolarmente importante quando viene introdotta una nuova tecnologia di trattamento dei dati.
Nei casi in cui non è chiaro se sia richiesta una valutazione d’impatto sulla protezione dei dati o meno, il WP29 raccomanda di effettuarla comunque, in quanto detta valutazione è uno strumento utile che assiste i titolari del trattamento a rispettare la legge in materia di protezione dei dati.
Sebbene una valutazione d’impatto sulla protezione dei dati possa essere richiesta anche in altre circostanze, l’art. 35, §3, fornisce alcuni esempi di casi nei quali un trattamento “possa presentare rischi elevati”:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- il trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9, §1, o di dati relativi a condanne penali e a reati di cui all’art. 1013;
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Come indicato dalle parole “in particolare” nella frase introduttiva dell’art. 35, §3, del regolamento generale sulla protezione dei dati, questo va inteso come un elenco non esaustivo.
Vi possono essere operazioni di trattamento a “rischio elevato” che non trovano collocazione in tale elenco ma che presentano tuttavia rischi altrettanto elevati. Anche tali trattamenti devono essere soggetti alla realizzazione di valutazioni d’impatto sulla protezione dei dati.
Criteri per la realizzazione di una valutazione di impatto
Al fine di fornire un insieme più concreto di trattamenti che richiedono una valutazione d’impatto sulla protezione dei dati in virtù del loro rischio elevato intrinseco, tenendo conto degli elementi particolari di cui all’art. 35, §1 e all’art. 35, §3, lettere da a) a c), dell’elenco da adottare a livello nazionale ai sensi dell’art. 35, §4, dei cons. 71, 75 e 91, e di altri riferimenti del GDPR a trattamenti che “possono presentare un rischio elevato”, si devono considerare i seguenti nove criteri.
- Valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato” (cons. 71 e 91).
- Processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente: trattamento che mira a consentire l’adozione di decisioni in merito agli interessati che “hanno effetti giuridici” o che “incidono in modo analogo significativamente su dette persone fisiche” (art. 35, §3, lett. a)).
- Monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico” (art. 35, §3, lett. c)).
- Dati sensibili o dati aventi carattere altamente personale: questo criterio include categorie particolari di dati personali così come definite all’art. 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’art. 10. Tali dati personali sono considerati essere sensibili (nel senso in cui tale termine è comunemente compreso) perché sono legati ad attività a carattere personale o domestico (quali le comunicazioni elettroniche la cui riservatezza deve essere protetta) oppure perché influenzano l’esercizio di un diritto fondamentale (come ad esempio i dati relativi all’ubicazione, la cui raccolta mette in discussione la libertà di circolazione) oppure perché la violazione in relazione a tali dati implica chiaramente gravi ripercussioni sulla vita quotidiana dell’interessato (si pensi ad esempio a dati finanziari che potrebbero essere utilizzati per frodi relative ai pagamenti).
- Trattamento di dati su larga scala: il regolamento generale sulla protezione dei dati non definisce la nozione di “su larga scala”, tuttavia fornisce un orientamento in merito al cons. 91. A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:
– il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
– il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
– la durata, ovvero la persistenza, dell’attività di trattamento;
– la portata geografica dell’attività di trattamento. - Creazione di corrispondenze o combinazione di insiemi di dati.
- Dati relativi a interessati vulnerabili (cons. 75).
- Uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative: ad esempio, alcune applicazioni di “Internet delle cose” potrebbero avere un impatto significativo sulla vita quotidiana e sulla vita privata delle persone e, di conseguenza, richiedono la realizzazione di una VdI sulla protezione dei dati.
- Quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto” (art. 22 e cons. 91).
Casi in cui non è richiesta la valutazione di impatto
Il WP29 ritiene che una valutazione d’impatto sulla protezione dei dati non sia richiesta nei seguenti casi:
- quando il trattamento non è tale da “presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, §1);
- quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è stata svolta una valutazione d’impatto sulla protezione dei dati.
- quando le tipologie di trattamento sono state verificate da un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non sono cambiate (cfr. III.C);
- qualora un trattamento, effettuato a norma dell’art. 6, §1, lettere c) o e), trovi una base giuridica nel diritto dell’Unione o nel diritto dello Stato membro, tale diritto disciplini il trattamento specifico o sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica (art. 35, §10), a meno che uno Stato membro non abbia dichiarato che è necessario effettuare tale valutazione prima di procedere alle attività di trattamento;
- qualora il trattamento sia incluso nell’elenco facoltativo (stabilito dall’autorità di controllo) delle tipologie di trattamento per le quali non è richiesta alcuna valutazione d’impatto sulla protezione dei dati (art. 35, §5);
- non è necessaria una valutazione d’impatto sulla protezione dei dati per i trattamenti che sono stati verificati da un’autorità di controllo o dal DPO, a norma dell’art. 20 della direttiva 95/46/CE e che vengono eseguiti in maniera tale da fare sì che non si sia registrata alcuna variazione rispetto alla verifica precedente.
Caratteristiche minime
Il GDPR definisce le caratteristiche minime di una valutazione d’impatto sulla protezione dei dati (art. 35, §7, e cons. 84 e 90):
- una descrizione dei trattamenti previsti e delle finalità del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti;
- una valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure previste per:
- affrontare i rischi;
- dimostrare la conformità al presente regolamento.
Nel valutare l’impatto di un trattamento va tenuto conto (art. 35, §8) del rispetto di un codice di condotta (art. 40). Ciò può essere utile per dimostrare che sono state scelte o messe in atto misure adeguate, a condizione che il codice di condotta sia adeguato all’operazione di trattamento interessata.
Devono essere presi in considerazione anche certificazioni, sigilli e marchi al fine di dimostrare la conformità rispetto al GDPR dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento (art. 42), nonché rispetto alle norme vincolanti d’impresa.
Tutti i requisiti pertinenti stabiliti nel GDPR offrono un quadro ampio e generico per la progettazione e lo svolgimento di una valutazione d’impatto sulla protezione dei dati.
Il Considerando 90 del Regolamento UE delinea una serie di elementi costitutivi della valutazione d’impatto sulla protezione dei dati che si sovrappone a elementi ben definiti della gestione del rischio.
In termini di gestione dei rischi, una valutazione d’impatto sulla protezione dei dati mira a “gestire i rischi” per i diritti e le libertà delle persone fisiche, utilizzando i seguenti processi:
- stabilendo il contesto: “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio”;
- valutando i rischi: “valutare la particolare probabilità e gravità del rischio”;
- trattando i rischi: “attenuando tale rischio” e “assicurando la protezione dei dati personali”, e “dimostrando la conformità al presente regolamento”.
La pubblicazione di una valutazione d’impatto non è un requisito giuridico sancito dal GDPR: è una decisione del titolare del trattamento procedere in tal senso. Tuttavia, i titolari del trattamento dovrebbero prendere in considerazione la pubblicazione di almeno alcune parti, ad esempio di una sintesi o della conclusione della loro valutazione d’impatto.
Criteri per una valutazione di impatto accettabile
Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per stabilire se sia richiesta una valutazione d’impatto sulla protezione dei dati o meno oppure se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente completa per garantire il rispetto del GDPR:
- una descrizione sistematica del trattamento è fornita (art. 35, §7, lett. a)):
- la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono presi in considerazione (cons. 90);
- vengono registrati i dati personali, i destinatari e il periodo di conservazione dei dati personali;
- viene fornita una descrizione funzionale del trattamento;
- sono individuate le risorse sulle quali si basano i dati personali (hardware, software, reti, persone, canali cartacei o di trasmissione cartacea);
- si tiene conto del rispetto dei codici di condotta approvati (art. 35, §8);
- la necessità e la proporzionalità sono valutate (art. 35, §7, lett. b)). Sono state determinate le misure previste per garantire il rispetto del regolamento (art. 35, §7, lett. d) e cons. 90):
- misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:
- finalità determinate, esplicite e legittime (art. 5, §1, lett. b));
- liceità del trattamento (art. 6);
- dati personali adeguati, pertinenti e limitati a quanto necessario (art. 5, §1, lett. c));
- limitazione della conservazione (art. 5, §1, lett. e));
- misure che contribuiscono ai diritti degli interessati:
- informazioni fornite all’interessato (articoli 12, 13 e 14);
- diritto di accesso e portabilità dei dati (articoli 15 e 20);
- diritto di rettifica e alla cancellazione (articoli 16, 17 e 19);
- diritto di opposizione e di limitazione di trattamento (articoli 18, 19 e 21);
- rapporti con i responsabili del trattamento (art. 28);
- garanzie riguardanti trattamenti internazionali (capo V);
- consultazione preventiva (art. 36).
- i rischi per i diritti e le libertà degli interessati sono gestiti (art. 35, §7 lett. c)):
- l’origine, la natura, la particolarità e la gravità dei rischi (cfr. cons. 84) o, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati) vengono determinate dalla prospettiva degli interessati:
- si considerano le fonti di rischio (cons. 90);
- sono individuati gli impatti potenziali per i diritti e le libertà degli interessati in caso di eventi che includono l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati;
- sono individuate minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati;
- sono stimate la probabilità e la gravità (cons. 90);
- sono determinate le misure previste per gestire tali rischi (art. 35, §7, lett. d) e cons. 90);
- le parti interessate sono coinvolte:
- si consulta il responsabile della protezione dei dati (art. 35, §2);
- si raccolgono le opinioni degli interessati o dei loro rappresentanti, ove opportuno (art. 35, §9).
I vantaggi ad effettuare una valutazione di impatto
Questo standard internazionale fornisce una guida che può essere adattata a una vasta gamma di situazioni in cui il dato personale viene elaborato. Tuttavia, in generale, una VdI può essere effettuata allo scopo di:
- identificare gli impatti, i rischi e le responsabilità sulla privacy;
- fornire input per progettare per la tutela della privacy (art. 25);
- revisionare i rischi per la privacy di un nuovo sistema di informazione e di valutarne l’impatto e la probabilità;
- fornire la base per la fornitura di informazioni sulla privacy per i principali PII su qualsiasi azione di mitigazione;
- mantenere gli aggiornamenti successivi con funzionalità aggiuntive;
- condividere e mitigare i rischi con le parti interessate; fornendo le informazioni relative alla conformità.
I costi di modifica di un progetto in fase di pianificazione di solito è una frazione di quelle sostenute in seguito.
Se l’impatto è inaccettabile, il progetto può essere annullato del tutto.
Tuttavia, una valutazione d’impatto aiuta a identificare i problemi precocemente e ridurre i costi del tempo di gestione, le spese legali e potenziali mediatici o d’interesse pubblico, prendendo in considerazione i problemi in anticipo.
Essa può anche aiutare un’organizzazione a evitare costosi errori e imbarazzanti sulla privacy.
Anche se una valutazione d’impatto dovrebbe essere più di un semplice controllo di conformità, comunque contribuisce a dimostrare la conformità di un’organizzazione ai pertinenti requisiti di privacy e protezione dei dati in caso di un’indagine successiva denuncia, controllo della privacy o la conformità.
In caso di rischio per la privacy o violazione che si verifica, il rapporto di una valutazione d’impatto può fornire la prova che l’organizzazione ha agito in modo appropriato nel tentativo di prevenire il verificarsi. Questo può aiutare a ridurre o addirittura eliminare ogni responsabilità, pubblicità negativa e la perdita di reputazione.
Una valutazione d’impatto permette all’organizzazione di conoscere in anticipo le insidie alla privacy di un processo, di un sistema informatico o un programma, piuttosto che avere i suoi revisori dei conti o concorrenti che glieli facciano notare.
In particolare, una valutazione d’impatto può aiutare un’organizzazione:
- a guadagnare la fiducia del pubblico e la fiducia che la privacy è stata costruita nella progettazione di un processo, di un sistema informatico o di un programma;
- ad anticipare e rispondere alle preoccupazioni del pubblico sulla privacy.
Obiettivi delle segnalazioni di una valutazione di impatto
L’obiettivo di segnalazione di valutazione d’impatto è quello di comunicare i risultati della valutazione alle parti interessate e di soddisfare le loro aspettative.
I seguenti esempi sono tipici di un’aspettativa delle parti interessate.
- PII principale. La valutazione d’impatto è uno strumento per consentire soggetti di PII per avere la certezza che la loro privacy è protetto;
- Gestione. Diversi punti di vista si applicano con:
- la valutazione d’impatto come strumento per gestire i rischi per la privacy, creare consapevolezza e stabilire responsabilità; visibilità oltre l’elaborazione PII all’interno dell’organizzazione, e possibili rischi, impatti dello stesso;
- effettuare la valutazione d’impatto nelle prime fasi del progetto garantisce che i requisiti di privacy sono inclusi nei requisiti funzionali e non, sono realizzabili, sono vitali e vengono tracciati attraverso il cambiamento e la gestione dei rischi; lo sforzo per classificare e gestire progetti PII dovrebbe essere finanziato come linea di investimento separata e quantificata in un bilancio di progetto;
- la valutazione d’impatto è uno strumento per comprendere i rischi per la privacy a / progetto / livello di unità la funzione; il consolidamento dei rischi; Ingresso ai meccanismi di progetto e di applicazione sulla Privacy; ingressi per i processi di privacy re–Engineering.
- Regolatore. La valutazione d’impatto è uno strumento che contribuisce a fornire elementi di prova per la conformità con i requisiti legali applicabili. È in grado di fornire la prova di atti dovuti adottati dall’organizzazione in caso di violazione, non conformità, denuncia eccetera.
- Cliente. La valutazione d’impatto è un mezzo per valutare come il processore PII o il titolare PII sta gestendo PII e fornisce la prova che segue gli obblighi contrattuali.
La segnalazione di valutazione d’impatto dovrebbe svolgere due funzioni fondamentali:
- inventario: mantiene i soggetti specifici informati delle entità colpite, l’ambiente interessato e i rischi sul ciclo di vita delle entità colpite;
- voci di azione: è un meccanismo di monitoraggio sulle azioni/attività che migliorano e/o risolvono i rischi identificati. La sensibilità per la distribuzione e la divulgazione delle informazioni di segnalazione deve essere chiaramente valutata e classificata (privato, confidenziale, pubblico ecc.).
Metodologia di esecuzione
L’ambito di una valutazione d’impatto, i dettagli specifici di ciò che copre e come si è condotta, deve essere adattata alla dimensione dell’organizzazione, alla competenza territoriale e al programma specifico, al sistema di informazioni o di un processo che è oggetto della valutazione d’impatto stessa.
Per sostenere le PMI nel processo della valutazione d’impatto, le associazioni di categoria o gli enti di piccole e medie imprese dovrebbero essere incoraggiati a redigere codici di condotta fornendo linee guida preziose, e le PMI dovrebbero essere incoraggiate a partecipare a queste attività.
Di seguito si elencano i passi metodologici per il raggiungimento dell’obiettivo.
- costituzione del gruppo della valutazione d’impatto e fornire loro la direzione;
- preparazione di un piano di valutazione d’impatto e determinazione delle risorse per condurre l’assessment;
- descrivere ciò che è in corso di valutazione;
- identificazione degli stakeholder;
- stabilire un piano di consultazione;
- consultarsi con gli stakeholder;
- identificare il flusso delle informazioni PII;
- analizzare le implicazioni dei casi in uso;
- determinare e salvaguardare i requisiti di privacy;
- identificazione delle minacce e calcolo dei rischi;
- minacce generiche;
- minacce derivabili dal trattamento dei dati personali nella Sanità;
- calcolo dei livelli del danno o della gravità e della probabilità;
- valutazione della priorità dei rischi;
- classificazione del rischio;
- scegliere le azioni di trattamento dei rischi;
- determinare i controlli;
- creare i piani di trattamento dei rischi;
- valutazione d’impatto;
- risoluzione.
La risoluzione della valutazione d’impatto deve basarsi sui risultati del processo di gestione del rischio che è stato eseguito, nonché sui rischi residui e la decisione di accettare i rischi o non accettarli.
Un’applicazione efficace sarà considerata soddisfacente dal responsabile del sistema una volta che il processo di valutazione d’impatto è stato completato con rischi rilevanti individuati e opportunamente trattati per garantire l’assenza di rischi residui inaccettabili per le persone, e al fine di soddisfare i requisiti di conformità, con appropriate revisioni interne ed approvazioni.
Le seguenti soluzioni possono essere previste al termine del processo di valutazione d’impatto:
- un sistema di rete intelligente o applicazione già in produzione:
- valutazione d’impatto positiva: le relazioni Valutazione d’impatto devono essere registrate e conservate dal RPD dell’organizzazione e tenuti a disposizione dell’autorità per la protezione dei dati.
- valutazione d’impatto negativa: un ulteriore esame sarà necessario con un piano di azioni correttive specifiche da sviluppare tra cui una proposta di controlli più efficienti o nuovi, e una nuova Valutazione d’impatto da completare al fine di determinare se l’applicazione ha raggiunto uno stato approvabile.
- un sistema di rete intelligente o applicazione ancora in fase di progettazione:
- valutazione d’impatto positiva: i rischi sono stati valutati e i controlli riguardanti tali rischi correttamente definiti e messi a punto. I rischi residui sono stati segnalati e non sono stati individuati ulteriori controlli e / o sono stati accettati alcuni rischi. Il rapporto Valutazione d’impatto dovrebbe includere le date future per il controllo del sistema quando sarà in produzione.
- valutazione d’impatto negativa: oltre a prevedere ulteriori controlli per l’ottenimento di un nuovo e soddisfacente livello di rischi residui, la relazione dovrebbe anche raccomandare quando possibile, le nuove azioni di progetto per l’applicazione seguendo il principio della privacy by design.
È importante notare che la soluzione finale dovrebbe essere una decisione di gestione basata sui risultati delle valutazioni effettuate, rispecchiando l’interesse sociale relativo allo sviluppo della rete intelligente.
Il processo di follow up
Questo processo conclude l’iter metodologico svolto all’interno del gruppo dei processi per la valutazione d’impatto.
Di seguito si fornisce l’elenco delle attività che compongono il follow up della valutazione d’impatto:
- preparazione del report
- pubblicazione
- attuazione dei piani di trattamento dei rischi
- review e/o audit della valutazione d’impatto
- affrontare le modifiche al processo
- documentazione per la valutazione d’impatto
Quest’ultimo punto fornisce indicazioni sul contenuto della relazione della valutazione d’impatto.
I contenuti del rapporto della valutazione d’impatto dipenderanno fortemente dal tipo e dalla sensibilità di dati personali, dalla sua natura e dalla sua portata.
Alcuni dei dettagli del rapporto della valutazione d’impatto possono essere riservati. Essi possono risolvere i problemi di business che non dovrebbero essere resi pubblici. Essi possono affrontare le opzioni di trattamento che possono rivelare dettagli sufficienti sui rischi residui per aumentare il rischio di compromissione del sistema.
L’organizzazione dovrebbe determinare il pubblico appropriato e contenuti della relazione della valutazione d’impatto e il suo grado di riservatezza. Una relazione di fiducia a un revisore indipendente o ad una autorità di protezione dei dati può contenere più informazioni rispetto a quello fornito alle parti interessate o al pubblico.
L’organizzazione dovrebbe considerare affrontare le seguenti problematiche e prendere in considerazione le indicazioni fornite di seguito:
- la struttura del documento;
- la portata della valutazione, i requisiti di privacy, la valutazione del rischio;
- il piano di trattamento del rischio;
- la conclusione e le decisioni prese sulla base del risultato della Valutazione d’impatto;
- una sintesi pubblica della valutazione d’impatto adatta ad essere utilizzata per informare i principali PII circa il livello di rischio associato al programma, sistema informativo, e il processo di attuazione in cui la loro PII sarà coinvolto.
Il rapporto della valutazione d’impatto dovrebbe essere adattato alle circostanze specifiche.
Normalmente, devono essere indicate le seguenti informazioni:
- nella sua pagina di copertina:
- il nome del processo;
- il sistema informatico o un programma;
- il nome e l’indirizzo del responsabile PII e dell’organizzazione che svolge la valutazione d’impatto;
- la persona di contatto con i dettagli di contatto;
- il numero di versione per il controllo dei documenti;
- la data del rapporto valutazione d’impatto; e
- anche nominare coloro che possono affrontare qualsiasi domanda se diversi dalla persona che ha condotto la valutazione d’impatto;
- se il rapporto della valutazione d’impatto è lungo, esso dovrebbe includere una sintesi indicando le principali conclusioni e raccomandazioni della valutazione d’impatto e che le parti interessate sono state consultate, una breve descrizione del programma, del sistema informativo, di processo o di altra iniziativa, che è stata oggetto della valutazione d’impatto;
- il motivo per cui la valutazione d’impatto è stata intrapresa.
- Introduzione. Dovrebbe indicare il motivo per cui una valutazione d’impatto è stata condotta, quando è stata condotta, che è stato coinvolto nella conduzione della valutazione d’impatto e i termini di riferimento della valutazione d’impatto. Essa dovrebbe fornire alcune informazioni sul processo, sistema informatico o di un programma di valutazione. Si dovrebbe introdurre le linee guida impiegate nella valutazione d’impatto (ad esempio, la decisione di coinvolgere le parti interessate). L’introduzione dovrebbe fornire tutte le informazioni contestuali sull’organizzazione e il suo ambiente che potrebbe essere necessaria al fine di comprendere la motivazione della valutazione d’impatto. L’introduzione potrebbe anche fare riferimento alla politica sulla privacy dell’organizzazione o al codice di condotta, nonché gli obblighi dell’organizzazione ai suoi stakeholder (azionisti e, se del caso), così come la sua conformità con la legislazione pertinente.
- Informazioni sui requisiti di sistema
- Informazioni dell’architettura di sistema
- Piani operativi e procedure
- Criteri di rischio
- Risorse e persone coinvolte
- Consultazione delle parti interessate
- Requisiti della privacy
- Piano di trattamento del rischio
- Conclusioni e decisioni
Al fine di fornire per gli utenti informazioni sui rischi della privacy, siano essi principi PII esterni o dipendenti, per sostenere il consenso, una sintesi pubblica della Valutazione d’impatto può avere bisogno di essere preparati dal report principale valutazione d’impatto.
Se necessario, la sintesi dovrebbe rimuovere informazioni commercialmente sensibili che potrebbero essere presenti nel rapporto completo valutazione d’impatto e lasciare solo gli aspetti chiave rilevanti per i principali PII.
Il rapporto di sintesi della valutazione d’impatto pubblico deve contenere:
- i vantaggi del programma, del sistema di informazione o di processo;
- i tipi di PII per essere elaborati e raccolti;
- le giurisdizioni legali in cui viene realizzato il trattamento di PII;
- una sintesi delle analisi delle conformità;
- un elenco delle eventuali misure per conformarsi ai requisiti di privacy o per il trattamento di rischio per la privacy che gli intenti dell’organizzazione per adottare o abbia adottato;
- le misure che i principali PII si raccomanda di prendere;
- l’organizzazione responsabile della valutazione d’impatto e del programma, il sistema di informazione o di processo;
- i dati di contatti del titolare del responsabile del trattamento;
- i dettagli di ogni utente rilevati da help desk o da una struttura di supporto degli utenti messe in atto per il programma, il sistema di informazione o di processo.
Quando la sintesi degli indirizzi pubblica della valutazione d’impatto si rivolge ai principali PII come membri del pubblico in generale, essi dovrebbero rappresentare tutte le informazioni di cui sopra e tutte le ulteriori informazioni in modo trasparente, chiaro e comprensibile.