Dpia

Nella privacy la DPIA, Data Protection Impact Assessment, e' la valutazione d'impatto che va effettuata se dall'analisi di rischio sussistono gli elementi che la rendono obbligatoria.

Per alcuni e' un modo per valutare la propria compliance. In realtà serve a indicare ex ante come comportarsi in caso di data breach e durante la gestione ordinaria dei dati per minimizzare l'impatto.

In essa rientrano moltissime attività preventive, che ovviamente rientrano nelle misure di sicurezza: crittografia, pseudonimizzazione, separazione, minimizzazione, gestione delle credenziali, le copie di sicurezza e l'organizzazione aziendale stessa.

Diciamolo chiaramente: la valutazione d'impatta andrebbe realizzata con il software della CNIL, concordato con il Garante italiano, complesso, non intuitivo, ma completo e in grado di semplificare l'adempimento.

La redazione e' sicuramente un enorme aiuto per chi la redige, imponendo di riflettere sull'attuale organizzazione e tecniche adottate.

E' da effettuare preventivamente e aggiornare ad ogni modifica.

In essa rientrano valutazioni simili o derivate dalla privacy by design e la privacy by default.

Grazie ad essa si possono progettare le misure di sicurezza organizzative per evitare sanzioni.

La realtà è che viene acquisita agli atti nel faldone dei documenti privacy, e solo con l'intervento (organizzativo) di chi e' piu' sensibile in azienda diventa uno strumento di attuazione.

Il dpo puo' accedere anche a questa documentazione, come tutte le altre.