© 2023 Studio Emme della dott.ssa Mariangela Moretto p.i. 02435900747

  • Grey LinkedIn Icon
  • Grey Twitter Icon
  • Grey Facebook Icon
LOGO-NAZIONALE.png
Please reload

Post recenti

Partecipa alla nostra campagna professionale 2020!

November 18, 2019

1/2
Please reload

Post in evidenza

La DPIA nel GDPR - Valutare il rischio d’impatto privacy: scelta cosciente, oltre l’adempimento.

October 2, 2019

 

 

DPIA significa letteralmente Data Protection Impact Assessment, tradotto: valutazione d’impatto sulla protezione dei dati, procedura prevista dall’articolo 35 del Regolamento UE/2016/679 (GDPR).

 

A differenza dell’art. 24 del GDPR, che si limita a stabilire che il Titolare debba essere sempre in grado di dimostrare di aver adottato tutte le misure necessarie affinché il trattamento dei dati sia conforme al GDPR, l’art. 35 non solo specifica i casi in cui è necessaria la valutazione d’impatto, ma fornisce anche le procedure sulle modalità da seguire e gli elementi da tenere in considerazione.

 

Ne consegue che il Titolare deve essere sempre rivolto con cosciente continuità all'accertamento del livello di rischio, valutando se sia elevato o meno, prima di porre in essere un qualunque trattamento, anche rispetto alle nuove tecnologie, dall’Intelligenza Artificiale all’IOT (Internet delle cose), comprendendo la privacy by design, la privacy by default e la pseudonimizzazione.

 

Nel caso in cui, al termine dell’analisi condotta secondo la metodologia di cui parleremo tra poco, il Titolare ritenga che non sussistano rischi elevati, può limitarsi a dare applicazione a quanto richiesto dall’art. 24. Tuttavia, anche in questo caso deve giustificare per scritto le valutazioni fatte e tenere un registro dei trattamenti svolti sotto la sua responsabilità.

 

Resta da valutare quali siano le misure che il Titolare dovrà adottare quando, all’esito dell’analisi svolta nell’ambito della DPIA, risultino rischi elevati per gli interessati.

 

L’art. 36 del GDPR prevede infatti al comma 1 che il Titolare debba consultare l’Autorità di controllo ogni volta che, sulla base dell’analisi svolta ex art. 35, risulti che i trattamenti comportano rischi elevati “in assenza di misure adottate dal Titolare per attenuare il rischio”. Il dettato letterale imporrebbe dunque che il Titolare debba rivolgersi all’Autorità in ogni caso in cui la analisi della DPIA svolta comporti l’adozione di misure adeguate per evitare o ridurre i rischi elevati del trattamento. Fortunatamente, su questa lettura dai risvolti assai poco pratici, interviene il Considerando 94, che limita tale consultazione al solo mancato reperimento da parte del Titolare delle misure adeguate da porre in essere.

 

Al fine di fornire un quadro più omogeneo della tipologia di trattamenti di dati personali che richiedono una DPIA, il gruppo WP29 ha, a suo tempo, emanato delle linee guida (vedasi WP 248) contenenti i criteri per desumere che il trattamento presenti un rischio elevato, tuttavia ancor meglio, ai sensi dell’art. 35, comma 4, del GDPR, Il Garante italiano ha provveduto a stilare il proprio elenco e a comunicarlo all’EDPB (European Data Protection Board) che, a sua volta, nella Opinion 12/2018, pubblicata il 3 ottobre 2018, ne ha convalidato le dodici casistiche in presenza delle quali la DPIA deve considerarsi obbligatoria:

  1. Trattamenti valutativi o di scoring su larga scala, che comportano la profilazione degli interessati e lo svolgimento di attività predittive ad essi attinenti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti;

  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici oppure che incidono in modo analogo significativamente sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere;

  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, effettuati anche non soltanto per profilazione;

  4. Trattamenti su larga scala di dati aventi carattere estremamente personale;

  5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici compresi i sistemi di video-sorveglianza e di geolocalizzazione;

  6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili quali ad esempio minori, disabili, anziani;

  7. Trattamenti effettuati attraverso l’uso di tecnologie innovative es. IoT, sistemi di intelligenza artificiale, tracciamenti di prossimità;

  8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;

  9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento;

  10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 del GDPR (razziale, etnica, politica) oppure di dati relativi a condanne penali e a reati di cui all’art. 10 del GDPR interconnessi con altri dati personali raccolti per finalità diverse;

  11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;

  12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Vediamo ora un metodo semplificato di calcolo dei rischi di un trattamento di dati personali basato su quanto proposto da ENISA (European Union Agency for Cybersecurity), l’agenzia dell’Unione Europea per la sicurezza delle reti e dell'informazione.

Il metodo si suddivide nelle seguenti quattro fasi:

 

A. Definizione dell’operazione di trattamento descrivendo:

Le operazioni svolte sui dati

Quali dati tratto e perché

Cosa uso per trattarli e dove

Categorie di interessati

Destinatari dei dati

 

B. Comprensione e valutazione dell’impatto del trattamento rispetto ai seguenti parametri, prendendo in considerazione un evento ipotetico in cui vengono a mancare:

Riservatezza del dato

Disponibilità del dato

Integrità del dato

Attribuendo un livello d’impatto in quanto a disagio scaturente: basso, medio, alto, molto alto; ricavare una media.

 

C. Definizione della probabilità di accadimento delle minacce su:

Risorse di rete e tecniche

Processi e procedure

Parti e persone coinvolte

Settore e scala del trattamento

Attribuendo un livello di probabilità di occorrenza della minaccia con un punteggio da 1 a 3; ricavare una media.

 

D. Calcolo del rischio generale sul trattamento facendo media dei valori ottenuti nella fase B e C.

 

In conclusione, lo svolgimento della valutazione del rischio d’impatto sulla privacy è una prassi continuativa, verosimilmente un ciclo di Deming applicato in modo cosciente dal Titolare del trattamento all’intera vita evolutiva dell’impresa, con la consapevolezza che la mancata esecuzione di una DPIA, nei casi in cui il trattamento lo richieda, ovvero la sua errata esecuzione, oppure la mancata consultazione dell’Autorità di controllo laddove richiesta, possono comportare l’irrogazione di una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di Euro oppure, nel caso di un’impresa, pari a fino al 2% del fatturato annuo globale dell’anno precedente, qualora tale importo risulti superiore.

Share on Facebook
Share on Twitter
Please reload

Seguici