{"id":9204,"date":"2017-10-30T18:16:14","date_gmt":"2017-10-30T18:16:14","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/eugdpracademy\/knowledgebase\/5-phases-of-the-eu-gdpr-data-protection-impact-assessment-2\/"},"modified":"2023-11-27T23:14:36","modified_gmt":"2023-11-27T23:14:36","slug":"le-5-fasi-della-valutazione-dimpatto-sulla-protezione-dei-dati-del-gdpr-dellue","status":"publish","type":"adv_resources","link":"https:\/\/advisera.com\/it\/articoli\/le-5-fasi-della-valutazione-dimpatto-sulla-protezione-dei-dati-del-gdpr-dellue\/","title":{"rendered":"Le 5 fasi della Valutazione d&#8217;Impatto sulla Protezione dei Dati del GDPR dell\u2019UE"},"content":{"rendered":"<h2>Una breve panoramica della metodologia DPIA<\/h2>\n<p>Questo articolo si concentra su un nuovo strumento che potrebbe essere definito come qualcosa a met\u00e0 tra un audit e la gestione del progetto. Nell&#8217;<a href=\"https:\/\/advisera.com\/gdpr\/data-protection-impact-assessment\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 35<\/a>, il <a href=\"https:\/\/advisera.com\/gdpr\/\" target=\"_blank\" rel=\"noopener noreferrer\">Regolamento Generale sulla Protezione dei Dati<\/a> prevede uno strumento analitico specifico, simile ad uno strumento gi\u00e0 definito. Questo \u00e8 noto ai valutatori come gestione delle informazioni e della sicurezza del rischio. Si noti che questo articolo non esaminer\u00e0 la metodologia di valutazione dell&#8217;impatto del GDPR in modo approfondito, fase per fase. Piuttosto, dar\u00e0 una panoramica di tutte le fasi di tale valutazione. Altri articoli in questa serie spiegheranno i dettagli di ogni fase.<\/p>\n<h2>La natura di una Valutazione d&#8217;Impatto sulla Protezione dei Dati<\/h2>\n<p>Se hai letto l&#8217;articolo su <a href=\"https:\/\/advisera.com\/it\/articoli\/il-ruolo-del-responsabile-della-protezione-dei-dati-alla-luce-del-regolamento-generale-sulla-protezione-dei-dati\/\" target=\"_blank\" rel=\"noopener noreferrer\">Il ruolo del Responsabile della Protezione dei Dati<\/a>, potresti aver notato che il ruolo del Responsabile della Protezione dei Dati \u00e8 piuttosto orizzontale, mescolato a competenze legali, di valutazione, tecniche e di comunicazione. La Valutazione d&#8217;Impatto sulla Protezione dei Dati \u00e8 in realt\u00e0 l&#8217;incarnazione di un tale mix. Inoltre, poich\u00e9 la Valutazione d&#8217;Impatto sulla Protezione dei Dati include sia i controllori<sup>1)<\/sup> di dati che i processori<sup>2)<\/sup> di dati nella sua procedura, possiamo anche presumere che la Valutazione d&#8217;Impatto sulla Protezione dei Dati sia lo strumento perfetto per garantire la responsabilit\u00e0 e l\u2019imputabilit\u00e0 di un&#8217;impresa.<\/p>\n<p>Vi \u00e8 un obbligo giuridico di effettuare una valutazione se c\u2019\u00e8 la probabilit\u00e0 che il trattamento provochi un rischio elevato per l\u2019interessato (<a href=\"https:\/\/advisera.com\/gdpr\/data-protection-impact-assessment\/\" target=\"_blank\" rel=\"noopener noreferrer\">Art. 35 GDPR<\/a>). Considerata la posta in gioco in un&#8217;impresa e l&#8217;evoluzione dei sistemi IT, un approccio alla gestione dei rischi consente all&#8217;organizzazione di determinare i controlli necessari. Consente di studiare l&#8217;elaborazione, di assegnare priorit\u00e0 ai rischi e di trattarli in maniera proporzionale al fine di ottimizzare i costi e prendere le relative decisioni. Infine, una Valutazione d&#8217;Impatto sulla Protezione dei Dati aiuta un&#8217;azienda a dimostrare l&#8217;implementazione dei principi della privacy. Di conseguenza, possiamo giustamente ammettere che una Valutazione d&#8217;Impatto sulla Protezione dei Dati \u00e8 uno strumento di conformit\u00e0; e deve essere utilizzato prima dell&#8217;implementazione del trattamento (analisi ex ante).<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><div id=\"sidebar-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2><strong>Una breve panoramica sulla sua metodologia<\/strong><\/h2>\n<p>Una Valutazione d&#8217;Impatto sulla Protezione dei Dati normalmente consiste in diverse fasi. Ognuna di queste fasi analizza una specifica funzionalit\u00e0 del trattamento dei dati rispetto a una serie di controlli e verifiche. Se ti sei mai chiesto cosa fanno un pilota e un co-pilota prima di decollare, in realt\u00e0 essi seguono una checklist per verificare i loro strumenti a fronte di una serie regolamentata e riesaminata di controlli. Una Valutazione d&#8217;Impatto sulla Protezione dei Dati \u00e8 simile a questa, ma, a differenza della checklist di un aeroplano, ha una certa flessibilit\u00e0.<\/p>\n<p>Una Valutazione d&#8217;Impatto sulla Protezione dei Dati \u00e8 adattabile alla profondit\u00e0 della valutazione che si desidera condurre, il che significa che non esiste un periodo di tempo indicato per ogni elemento di valutazione. In altre parole, se il gruppo di valutazione desidera trascorrere del tempo per elaborare controlli o per cercare e studiare le minacce al trattamento, dovresti lasciarli fare, in quanto i rimedi saranno il risultato previsto di questa analisi. In termini di metodologia, l&#8217;<a href=\"https:\/\/advisera.com\/gdpr\/data-protection-impact-assessment\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 35.7<\/a> del Regolamento prevede gli elementi minimi da valutare, che sono descritti di seguito in 5 fasi:<\/p>\n<ul>\n<li><strong>La fase 1<\/strong> \u00e8 in sostanza un dettagliato del trattamento dei dati, inclusi: i dati che utilizza, i suoi controllori e le informazioni relative ai processori, la sua base giuridica o i periodi di conservazione applicati ai dati. Essa possiede analogie con il vecchio formato della notifica, requisito della direttiva 95\/46 CE, che scomparir\u00e0 dopo il 25 maggio 2018.<\/li>\n<li><strong>La fase 2<\/strong> identifica i controlli legali e di trattamento del rischio attualmente implementati. Questa fase coinvolge le misure attuali ed esistenti da un punto di vista giuridico, tecnico, fisico e organizzativo. L&#8217;obiettivo \u00e8 controllare eventuali rischi che potrebbero essere identificati prima dell&#8217;implementazione dell\u2019elaborazione dei dati. Se, ad esempio, la tua azienda non ha esaminato la sua politica relativa all&#8217;accesso ai propri locali (ad esempio: rilascio di tesserini, registri di accesso, ecc.), \u00e8 probabile che tu lo debba fare prima di allargare tale politica a un&#8217;area di nuova costruzione \/ acquisizione dei locali o di un nuovo sistema.<\/li>\n<li><strong>La fase 3<\/strong> elenca le fonti di rischio nel trattamento dei dati. Essa solleva la seguente domanda: &#8220;La mia impresa avr\u00e0 dei problemi per questo nuovo trattamento dei dati e, in caso affermativo, dove e quando ci saranno questi problemi?&#8221; Questa fase si concentra su possibili intrusioni di privacy (ad esempio danni causati da dati imprecisi o violazioni della sicurezza); valutazione dei rischi aziendali, danni alla reputazione o costi finanziari. Richiede immaginazione, in particolare per cercare una buona quantit\u00e0 di fonti di rischio per la tua attivit\u00e0. Se gestisci un&#8217;impresa bancaria, una delle tue fonti di rischio \u00e8 che il database possa essere aggredito e acceduto fraudolentemente. Si tratta di un rischio per la sicurezza in s\u00e9, ma porta anche un rischio finanziario per i tuoi titoli generando un rischio per la tua reputazione agli occhi dei tuoi clienti.<\/li>\n<li><strong>La fase 4\u00a0<\/strong>riguarda l&#8217;analisi e l&#8217;elenco dei potenziali eventi negativi e delle minacce al trattamento dei dati. La sua differenza dalla Fase 3 \u00e8 che la fase 4 si concentrer\u00e0 sui dati personali dei soggetti interessati e sui potenziali impatti del nuovo trattamento su tali dati. Sia che gli eventi siano interni o esterni, umani o non umani (tecnici), questa fase \u00e8 rilevante per quanto riguarda gli sviluppi tecnologici. Le nuove tecnologie potrebbero non avere una chiara introduzione di garanzie relative alla privacy e quindi esporre i soggetti di dati a minacce quali hacking, phishing e spamming. Il suo scopo \u00e8 quello di determinare a quale tipo di minacce potrebbe essere esposto il tuo trattamento. Supponiamo che tu sia il direttore di un grande ospedale. I registri sanitari dei pazienti sono molto sensibili. Una minaccia umana potrebbe essere che queste registrazioni siano accessibili ai membri sbagliati del personale per il motivo sbagliato e una minaccia non umana sarebbe che il sistema operativo utilizzato dal tuo ospedale \u00e8 quello che ha funzionato per dieci anni senza aggiornamenti. Nel primo caso, si pu\u00f2 temere un accesso non autorizzato e fraudolento, mentre nel secondo, si pu\u00f2 temere un cyber-attacco sul sistema operativo. In definitiva, la riservatezza medica dei tuoi pazienti sar\u00e0 minacciata se non poni rimedio alla minaccia.<\/li>\n<li>Infine, <strong>la fase 5<\/strong> \u00e8 nel modulo di un rapporto e riepiloga l&#8217;analisi, i controlli attuali, i rischi per la tua attivit\u00e0 e le minacce ai dati personali. Il rapporto definisce le opzioni dell&#8217;organizzazione per affrontare ogni rischio, minaccia e difetto individuati. Indica se ciascuna opzione comporta l\u2019eliminazione del rischio, la sua mitigazione o che il rischio sia accettato cos\u00ec com\u2019\u00e8. Il rapporto verr\u00e0 registrato, conservato e presentato ai principali responsabili della propria organizzazione. Questi dirigenti potranno cos\u00ec decidere se le azioni sono state prese o devono essere prese, e seguire tali azioni. Qui possiamo notare che tali rapporti contribuiscono alla tua conformit\u00e0 al principio di responsabilit\u00e0 del <a href=\"https:\/\/advisera.com\/it\/articoli\/cose-la-gdpr-ue\/\" target=\"_blank\" rel=\"noopener noreferrer\">GDPR<\/a>.<\/li>\n<\/ul>\n<h2>Valore aggiunto di una Valutazione d&#8217;Impatto sulla Protezione dei Dati<\/h2>\n<p>Una Valutazione d&#8217;Impatto sulla Protezione dei Dati rappresenta un valore aggiunto alla tua attivit\u00e0. Pu\u00f2 sembrare un compito molto lungo e che richiede molto tempo. Tuttavia, mentre una Valutazione d&#8217;Impatto sulla Protezione dei Dati &#8220;d\u00e0 il via libera&#8221; alla tua conformit\u00e0 a uno specifico trattamento dei dati, fornir\u00e0 anche una pre-analisi del tuo trattamento da parte del personale interno coinvolto nella Valutazione d&#8217;Impatto sulla Protezione dei Dati, dimostrando allo stesso tempo buona fede alle autorit\u00e0 nazionali e ai clienti.<\/p>\n<p>Tale valutazione fornisce una potente opportunit\u00e0 per riesaminare i documenti, preparare l&#8217;implementazione del progetto, costruire o adattare le tue politiche, aggiornare gli aspetti tecnici e rafforzare i controlli. In breve, la Valutazione d&#8217;Impatto sulla Protezione dei Dati incoraggia il tuo personale a scambiare e accrescere la consapevolezza sulla protezione dei dati personali all&#8217;interno della tua azienda.<\/p>\n<p>Dimostrare la tua conformit\u00e0 all\u2019autorit\u00e0 di protezione dei dati \u00e8 ci\u00f2 che devi tenere a mente. Questa autorit\u00e0 verr\u00e0 a conoscere le tue valutazioni, dal momento che devi tenere un registro. In caso di un audit all&#8217;interno dei locali della tua azienda, sarai in grado di dimostrare buona fede mostrando tali registrazioni. Inoltre, riguardo ai tuoi clienti, rassicura gli interessati che proteggerai i loro dati e la tua reputazione.<\/p>\n<p><em>Clicca qui per scaricare il tuo<\/em>\u00a0<a href=\"https:\/\/info.advisera.com\/eugdpracademy\/it\/download-gratuiti\/diagramma-del-processo-di-implementazione-del-gdpr-dell-ue\" target=\"_blank\" rel=\"noopener noreferrer\">Diagramma del processo di implementazione del GDPR dell&#8217;UE<\/a> <em>gratuito per sapere in che modo la Valutazione d&#8217;Impatto sulla Protezione dei Dati si inserisce in tutto il processo.<\/em><\/p>\n<hr \/>\n<p><span style=\"font-size: 8pt;\"><sup>1)<\/sup> Si utilizza qui e di seguito il termine non ufficiale \u201cControllore\u201d al posto del termine uffficiale \u201cTitolare del trattamento\u201d come riportato nel testo dell\u2019UE perch\u00e9 pi\u00f9 intuitivo<\/span><br \/>\n<span style=\"font-size: 8pt;\"> <sup>2)<\/sup> Si utilizza qui e di seguito il termine non ufficiale \u201cProcessore\u201d al posto del termine uffficiale \u201cResponsabile del trattamento\u201d come riportato nel testo dell\u2019UE perch\u00e9 pi\u00f9 intuitivo<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una breve panoramica della metodologia DPIA Questo articolo si concentra su un nuovo strumento che potrebbe essere definito come qualcosa a met\u00e0 tra un audit e la gestione del progetto. Nell&#8217;articolo 35, il Regolamento Generale sulla Protezione dei Dati prevede uno strumento analitico specifico, simile ad uno strumento gi\u00e0 definito. Questo \u00e8 noto ai valutatori [&hellip;]<\/p>\n","protected":false},"author":63,"featured_media":105513,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-9204","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-it","adv_standard-eu-gdpr-it","adv_topic-implementation","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/adv_resources\/9204","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/users\/63"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/comments?post=9204"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/adv_resources\/9204\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/media\/105513"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/media?parent=9204"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/tags?post=9204"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}