Il GDPR impone una Valutazione d'Impatto sulla Protezione dei Dati per ogni trattamento suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone. SYAGA DPIA-Express struttura e documenta la vostra DPIA secondo la metodologia dell'articolo 35 e le linee guida dell'EDPB, senza improvvisazione e senza gergo tecnico.
Determinare se il vostro trattamento deve essere oggetto di una DPIA, poi condurla secondo le regole
Ogni trattamento suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone fisiche deve essere oggetto di una Valutazione d'Impatto sulla Protezione dei Dati prima della sua attuazione (GDPR, art. 35).
L'EDPB (ex Gruppo di lavoro Articolo 29, WP29), nelle linee guida WP248 rev.01, ha definito 9 criteri di rischio elevato. Non appena un trattamento soddisfa almeno due di questi criteri, una DPIA deve in linea di principio essere condotta: un solo elemento mal identificato, e il fascicolo è incompleto.
La CNIL (l'autorità francese per la protezione dei dati) pubblica elenchi di trattamenti per i quali la DPIA è richiesta o non richiesta. Determinare con precisione dove si colloca il vostro trattamento richiede una lettura rigorosa, non un'impressione generale.
Condurre una DPIA troppo velocemente espone all'incompletezza davanti a un'autorità di controllo; non condurla quando è richiesta espone l'organizzazione a una violazione dell'articolo 35. Il metodo CNIL struttura questa scelta e la documenta.
La struttura imposta dall'articolo 35.7 del GDPR, applicata al vostro trattamento, con una conclusione motivata a ogni fase
Analisi rispetto ai 3 casi dell'articolo 35.3, alla griglia dei 9 criteri dell'EDPB (WP248 rev.01) e agli elenchi CNIL dei trattamenti richiesti o non richiesti. Conclusione motivata, che la DPIA sia infine obbligatoria o meno.
Finalità, categorie di dati e di persone interessate, destinatari, tempi di conservazione: la mappatura completa richiesta dall'articolo 35.7.a, coerente con il vostro registro delle attività di trattamento (art. 30).
Verifica che ogni dato raccolto sia necessario alla finalità perseguita, che la base giuridica (art. 6) sia identificata per ogni trattamento, e che il principio di minimizzazione (art. 5.1.c) sia rispettato.
Per ogni rischio identificato: gravità, probabilità, misure già in atto, rischio residuo, presentati in forma di tabella utilizzabile dalla vostra direzione o dal vostro DPO.
Misure tecniche e organizzative previste (art. 32), conclusione motivata e giustificazione documentata ai sensi dell'accountability (art. 5.2), utilizzabile in caso di controllo da parte della CNIL.
Un documento strutturato, con fonti citate, e onesto su ciò che resta da validare dal vostro legale o dal vostro DPO
Il documento completo secondo l'articolo 35.7 (da a a d), con una conclusione motivata.
L'analisi preliminare che stabilisce se il vostro trattamento rientra nel campo dell'obbligo.
La DPIA si basa sulla stessa base del vostro registro delle attività di trattamento.
Ogni punto di incertezza è segnalato esplicitamente, mai deciso al posto vostro.
Ogni affermazione giuridica è supportata da fonti, non affermata a memoria.
Consegnato in un formato modificabile, riutilizzabile dal vostro DPO o dal vostro legale.
Un metodo che si basa su testi e autorità, non su interpretazioni personali
Valutazione d'impatto sulla protezione dei dati. Testo consolidato del Regolamento (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).
I 9 criteri di rischio elevato dell'EDPB (ex Gruppo Articolo 29), ripresi dalla CNIL come metodo di riferimento per determinare l'obbligo di DPIA.
Elenchi dei trattamenti per i quali la DPIA è richiesta o non richiesta, e metodo CNIL per la conduzione di una valutazione d'impatto.
Registro delle attività di trattamento: la base di coerenza (finalità, dati, tempi) su cui si fonda ogni DPIA.
Il perimetro dipende dal numero di trattamenti, dalla loro complessità e da ciò che è già documentato presso di voi. Preventivo stabilito dopo un primo scambio.
Non sapete se il vostro trattamento è interessato
Trattamento identificato ad alto rischio
Più trattamenti a rischio da coprire
Una DPIA non è mai definitiva
L'articolo 35.11 del GDPR impone di riesaminare l'analisi in caso di evoluzione significativa del trattamento (nuovo responsabile del trattamento, cambio di hosting, estensione del perimetro di raccolta). Un preventivo di riesame è stabilito caso per caso.
Descriveteci il vostro trattamento, vi ricontatteremo con un preventivo personalizzato.