La Data Protection Impact Assessment (DPIA) è obbligatoria quando il trattamento presenta un rischio elevato per i diritti e le libertà degli interessati.
Quando un Ordine deve farla
- Gestione albo con dati sensibili (sanzioni, sospensioni)
- Ordini sanitari con dati relativi alla salute degli iscritti
- Sistemi di videosorveglianza in sede
- Profilazione per comunicazioni mirate
Le fasi della DPIA
1. Descrizione del trattamento
Finalità, base giuridica, categorie di dati, soggetti interessati, periodo di conservazione.
2. Valutazione necessità e proporzionalità
Il trattamento è strettamente necessario? Esistono modalità meno invasive?
3. Identificazione rischi
Accesso non autorizzato, perdita, alterazione. Per ciascuno: probabilità e gravità.
4. Misure di mitigazione
Cifratura, log accesso, backup, training del personale, contratti con fornitori (DPA art.28).
Una DPIA non è un documento da archiviare: è uno strumento vivo che va aggiornato a ogni cambiamento significativo.
R
Autore
Redazione Ordix
Team Editoriale
Il team Ordix scrive di gestionali, AGID, GDPR, SPID/CIE e PagoPA per chi guida un Ordine professionale italiano. Esperienza diretta su 26 settori dal 2018.
