Non è uno scioglilingua nè una nuova favola delle tre fatine, bensì tre acronimi della disciplina sulla protezione dei dati personali che sarebbe opportuno riuscire prontamente a distinguere e altrettanto prontamente a mettere in atto allorquando si utilizzano dati personali.

PIA, LIA e TIA sono tre importanti “assessment”, pilastri dello scenario delle valutazioni di rischio GDPR, che incombono prevalentemente in capo al titolare del trattamento.

PIA

La “PIA” – o “Privacy Impact Assessment” ma più spesso detta anche “DPIA”, cioè “Data Protection Impact Assessment” – è la ben nota valutazione di impatto, cioè quella speciale analisi da effettuare quando si è in presenza di trattamenti di dati personali a presumibile rischio elevato.

LIA

Se con la PIA si è nell’ambito dei trattamenti, con la LIA si entra nel campo delle basi giuridiche: vale a dire nelle condizioni che rendono legittimo il trattamento di dati personali, quella dell’interesse legittimo del titolare o di terzi, prevista dall’articolo 6.1, lettera f) del GDPR.

La base giuridica dell’interesse legittimo si fonda su una valutazione – appunto la LIA o “Legitimate Interest Assessment” – operata comparando gli interessi del titolare con gli interessi, diritti o libertà fondamentali dell’interessato, finalizzata a verificare che questi ultimi non prevalgano sui primi. In caso contrario, cioè se gli interessi del soggetto cui si riferiscono i dati prevalgono su quelli del titolare, allora questa base giuridica non è in grado di legittimare il trattamento: dovrà individuarsi un’ulteriore base giuridica o, in mancanza, non potrà darsi corso al trattamento considerato.

Per interesse si intende il beneficio che il titolare o terzi traggono – o potrebbero trarre – dal trattamento.

TIA

La TIA o “Transfer Impact Assessment” è la valutazione sull’adeguatezza delle misure di salvaguardia per il trasferimento di dati verso paesi terzi che non sono presenti nella white list della Commissione UE; in questo elenco sono riuniti i paesi che hanno ottenuto una decisione della Commissione circa l’adeguatezza del loro sistema di protezione interno in relazione ai dati personali. 

Quindi, la TIA è sempre necessaria se il paese di destinazione dei dati non è presente nell’elenco della white list.