Comment réaliser une évaluation des incidences sur la vie privée aux Philippines ?

Pour réaliser une analyse d’impact sur la protection des données (PIA) conforme aux règles, préparez un rapport exposant les mesures proposées pour réduire les risques potentiels et communiquez les conclusions de la Pia à toutes les parties prenantes concernées. Une image claire du flux d’informations aidera à identifier l’impact. Sources : 2,8]

Par exemple, l’introduction d’une évaluation des incidences sur la vie privée (PIA) par l’Information Commissioner’s Office (ICO) est une excellente approche. Un Pia peut également être utile pour les projets qui impliquent le traitement d’informations personnelles, comme la mise en œuvre d’une loi sur la protection des données ou d’une politique de protection des données [Sources : 8,3]. Sources : 8,3]

En outre, la Commission nationale de protection des données (NPC) a développé cinq piliers de conformité qui condensent les exigences auxquelles les images pips doivent se conformer. Les organisations des Philippines qui traitent les données personnelles de leurs citoyens et résidents doivent également se conformer au GDPR. Sources : 10,9]

L’organisation doit seulement traiter les données nécessaires, des contrôles d’accès doivent être introduits, les contrôles de sécurité testés pour leur efficacité, la liste pourrait être poursuivie. Il est également nécessaire de procéder à une analyse d’impact sur la protection des données, qui doit inclure des procédures progressives pour garantir que les données sont éliminées d’une manière compatible avec la finalité initiale de leur traitement. Si les données ne doivent pas être stockées pour être traitées, elles doivent néanmoins être incluses dans l’évaluation de l’impact sur la vie privée. Sources : 11,13]

En résumé, l’examen des nouveaux projets et des nouvelles politiques qui incluent des DPI est une étape importante vers un environnement plus privé – un environnement conscient. La réévaluation de l’impact sur la vie privée des systèmes et des processus pendant leur fonctionnement, lorsque des mises à jour sont fournies ou que de nouvelles fonctionnalités sont publiées, aidera l’Autorité à continuer à surveiller la protection des données personnelles et la vie privée de ses utilisateurs et employés. Si le projet ne traite pas de données personnelles ou propose des changements aux pratiques existantes de traitement de l’information lorsque les pratiques de protection de la vie privée ont été précédemment évaluées et jugées appropriées, une EFVP sera nécessaire. Promouvoir une culture de la vie privée dans cette direction en développant des initiatives visant à mettre en œuvre les nouvelles directives du projet, avant même leur mise en œuvre, ce qui favorisera une meilleure compréhension de l’impact sur la vie privée et de son impact sur l’organisation. Sources : 8,6,6,8]

N’oubliez pas qu’avant de mettre en œuvre une EFVP, les mesures de sécurité existantes doivent être expliquées lorsque des lacunes et des vulnérabilités dans les systèmes de traitement des données sont identifiées. Les entreprises devraient jouer un rôle proactif en désignant une personne chargée de la sécurité de l’information, d’évaluer l’impact potentiel des violations de données, de rédiger un manuel de confidentialité et de mettre en œuvre des mesures de sécurité concrètes. Ces mesures sont cruciales pour les organisations, car la Commission nationale de la protection de la vie privée reçoit des plaintes pour violation de données, et elles peuvent donc constituer un facteur essentiel dans l’évaluation de la responsabilité de l’organisation en cas de violation. Sources : 14,16,2]

Après avoir effectué une évaluation préliminaire, vous déciderez de la portée et de l’objectif des outils de surveillance qui impliquent le traitement de données personnelles, susceptible d’entraîner une violation de la loi sur la protection des données ou d’autres lois sur la protection des données. Par exemple, vous pouvez préconiser la nomination d’un « responsable de la protection des données » chargé de veiller au respect des lois sur la protection des données telles que le Digital Millennium Copyright Act (DMCA) et la loi sur la protection de la vie privée. Vous pouvez également procéder à une évaluation des incidences sur la vie privée (EIVP) des systèmes de traitement des données de votre organisation. Sources : 9,7,13]

Sources :

• 0] : https://trustarc.com/blog/2015/01/27/privacy-impact-assessments-data-map/
• 1] : http://fst.torun.pl/assassin-s-jaj/project-report-on-pia-c411ae
• 2] : https://onelunaglobal.com/articles/data-privacy-and-you
• [3] : https://resources.infosecinstitute.com/topic/how-to-conduct-a-data-privacy-impact-assessment-in-2018/
• [4] : https://en.wikipedia.org/wiki/Privacy_Impact_Assessment
• [5] : https://wilmap.law.stanford.edu/news/privacy-impact-assessment-age-new-normal
• [6] : https://www.privacy.com.ph/fostering-a-culture-of-privacy-through-the-conduct-of-privacy-impact-assessments/
• [7] : https://globaldatahub.taylorwessing.com/article/dpias-under-the-gdpr
• [8] : https://www.oic.qld.gov.au/guidelines/for-government/guidelines-privacy-principles/privacy-compliance/overview-privacy-impact-assessment-process/undertaking-a-privacy-impact-assessment
• [9] : https://blog.focal-point.com/beyond-the-gdpr-what-you-should-know-about-the-philippines-data-privacy-act-of-2012
• [10] : https://law.asia/revisiting-data-privacy-pandemic/
• [11] : https://www.rapid7.com/blog/post/2018/08/03/lessons-from-the-philippines-specific-approach-to-data-privacy/
• [12] : http://m.ateneo.edu/mob1/news/24084/data-privacy-101%3A-what-is-a-privacy-impact-assessment
• [13] : https://adspark.ph/privacy-impact-assessment/
• [14] : https://www.linkedin.com/pulse/7-things-prepare-prior-conduct-pia-angelie-dela-cruz-rl
• [15] : https://tribune.net.ph/index.php/2019/02/21/conduct-of-a-privacy-impact-assessment/
• [16] : https://www.privacy.gov.ph/implementing-privacy-and-data-protection-measures/projects/

• LinkedIn
• Twitter