Per ogni nuovo trattamento di dati personali, che è alla base delle Privacy by design, il GDPR prescrive una serie di aggiornamenti e valutazioni, a cominciare dal registro delle attività di trattamento, l’informativa privacy, l’analisi dei rischi e la valutazione d’impatto (DPIA), e quando sono implicati sistemi di intelligenza artificiale può essere necessario redigere anche la cosiddetta "FRIA".
L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi.
Il tema delle “misure di mitigazione”, da applicare a seguito della valutazione dei rischi, presenta numerose sfaccettature, in questo articolo vengono illustrati alcuni aspetti secondari, ma non per questo non degni di approfondimento. Le misure di mitigazione sono necessarie per prevenire e per evitare che si ripetano gli eventi che incidono sulla perdita di riservatezza, integrità e disponibilità dei dati personali e, quindi, servono a ridurre gli impatti sugli interessati, a seguito di eventi avversi, in relazione ai loro diritti e alle loro libertà, così come chiede il GDPR.
Per leggere l'articolo integrale devi effettuare il login!
L’autorità per la protezione dei dati personali del Belgio ha sanzionato gli aeroporti Zaventem e Charleroi-Bruxelles Sud di Bruxelles per aver effettuato controlli della temperatura corporea dei passeggeri e somministrato loro questionari anamnestici nell'ambito della lotta al Covid-19 senza disporre di una valida base giuridica e senza aver neppure fatto una valutazione d’impatto prima di raccogliere i dati sanitari dei viaggiatori.
Imprese obbligate a scrivere una Bia, cioè una Byod Impact Assessment, dove Byod sta per «bring your own device»: si tratta dell'utilizzo per esigenze di servizio di dispostivi appartenenti al lavoratore. Per scongiurare i pericoli della criminalità informatica e anche per stare lontano da sanzioni amministrative per violazione della privacy, bisogna gestire e pianificare se e come utilizzare i dispositivi dei dipendenti.
Per leggere l'articolo integrale devi effettuare il login!
Via libera del Garante per la privacy alla valutazione d’impatto sulla protezione dei dati (DPIA) nell’ambito del progetto Carta Giovani Nazionale (CGN) trasmessa dal Dipartimento per le politiche giovanili e il servizio civile universale della Presidenza del Consiglio dei Ministri.
Con il regolamento Ue sulla privacy (2016/679, noto come Gdpr) è a regime l'era del fai-da-te. Addio alla vecchia verifica preliminare (una sostanziale richiesta di autorizzazione al Garante) e via libera alla valutazione di impatto privacy (o Dpia, che sta per Data protection impact assessment). Lo attesta il Garante della privacy, nella relazione annuale per il 2018 al parlamento, che descrive l'attività svolta dall'autorità presieduta da Antonello Soro.
Per leggere l'articolo integrale devi effettuare il login!
D’ora in poi, pubbliche amministrazioni e aziende italiane che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione avranno uno strumento in più per applicare correttamente il nuovo Regolamento Europeo sulla protezione dei dati. Il Garante per la privacy ha predisposto, come stabilito per le Autorità di controllo nazionali dal Gdpr, un elenco delle tipologie di trattamento che i soggetti pubblici e privati dovranno sottoporre a valutazione di impatto.
Nelle «disposizioni e deleghe al Governo in materia di intelligenza artificiale» contenute nella legge 132/2025, sono contenute norme significative per il mondo della giustizia. Fondamentale che ogni utilizzo dell’IA in ambito giudiziario sia soggetto a una valutazione d’impatto, come richiesto dal regolamento europeo e dalla stessa normativa italiana.
Per leggere l'articolo integrale devi effettuare il login!
Con provvedimento del 29 aprile 2025 il Garante Privacy ha sanzionato l’Ordine degli Psicologi della Regione Lombardia per non aver adottato le misure necessarie a protezione dei dati personali, in violazione degli artt. 5, par. 1, lett. f), e 32, par. 1., del Regolamento UE 2016/679 (GDPR).
