Il Regolamento Europeo in materia di Protezione dei Dati Personali (GDPR) ha un approccio "risk based", cioè basato sulla valutazione del rischio.
Il rischio, uno dei criteri previsti dal Regolamento, è inerente al trattamento dei dati personali ed è da intendersi come l'impatto negativo sulle libertà e sui diritti degli interessati, per questo prevede l'obbligo di una analisi e quindi della valutazione delle misure tecniche e organizzative che il Titolare ritiene di dover adottare per ridurlo in caso risulti alto.
Per ogni rischio occorre individuare la probabilità dell'evento, nonché la gravità dello stesso ed è pertanto necessario documentare la tipologia dei dati trattati, la pericolosità per i diritti degli interessati, i comportamenti degli operatori, gli eventi relativi al contesto e agli strumenti utilizzati per il trattamento, le possibili conseguenze. Gli obblighi previsti dal Regolamento Europeo variano in base al rischio correlato al trattamento dei dati e alla struttura organizzativa, perciò il rischio è relativo allo stato dell'arte e alla sostenibilità economica, in pratica si prevede l'obbligo di allocare il rischio tipico di impresa, senza considerare il rischio atipico in quanto "irragionevole e sproporzionato" rispetto ai doveri generali di prevenzione e precauzione della responsabilità civile. La responsabilità oggettiva nel trattare dati personali è limitata al rischio tipico, da qui nasce l'esigenza di una Responsabilizzazione del Titolare (Accountability) in grado così di valutare, meglio di chiunque altro, il rischio correlato alla propria attività (un esempio classico riguarda la dismissione delle stampanti con memoria, senza aver provveduto a cancellare la memoria e quindi con la possibilità che un terzo possa acquisire le immagini ottiche degli ultimi documenti stampati o scansionati).
In cosa consiste la DPIA
La DPIA (Data Protection Impact Assessment) è quindi la Valutazione di Impatto del Trattamento, lo strumento cardine tramite il quale il Titolare effettua l'analisi dei rischi derivanti dai trattamenti posti in essere e col quale si assicura trasparenza e protezione nelle operazioni di trattamento dei dati personali.
Durante questa valutazione il Titolare deve quindi sviluppare una valutazione preventiva (cioè prima di iniziare il trattamento) delle conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati. Al contempo, il Responsabile del trattamento deve assistere il Titolare fornendogli ogni informazione necessaria.
La valutazione del rischio, da realizzare per ogni singolo trattamento, dovrà portare il Titolare a decidere in autonomia se sussistono rischi elevati, in assenza dei quali potrà procedere oltre, se invece ritenesse sussistenti rischi per le libertà e i diritti degli interessati, dovrà individuare le misure specifiche richieste per attenuarli o addirittura eliminarli, solo nel caso in cui non dovesse trovare misure idonee per farlo dovrà consultare il Garante Privacy. L'Autorità interviene solo a posteriori sulle valutazioni del Titolare, indicando le misure ulteriori eventualmente da implementare, eventualmente fino ad ammonire il Titolare o vietare il trattamento. Nello svolgimento della DPIA In ogni caso il Titolare dovrà giustificare e rendicontare le sue valutazioni nel Registro dei Trattamenti e consultarsi col DPO (Data Protection Officer), il quale ha il compito di fornire, se richiesto, un parere in merito alla valutazione di impatto e sorvegliarne lo svolgimento.
Cosa contiene la DPIA
Tra le altre, la Valutazione di Impatto deve contenere almeno:
- la descrizione sistematica dei trattamenti previsti
- la finalità del trattamento (compreso l'interesse legittimo perseguito dal Titolare
- la valutazione della necessità e proporzionalità del trattamento in relazione alla finalità
- la valutazione dei rischi per i diritti e le libertà degli interessati
- le misure previste per affrontare i rischi, incluse le garanzie
- le misure di sicurezza e i meccanismi per garantire la protezione dei dati
- la dimostrazione della conformità al Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
La valutazione implica l'analisi e la descrizione delle aree critiche da esaminare, del profilo di tutti i soggetti coinvolti, degli effetti e delle conseguenze del trattamento dei dati, una valutazione dei rischi collegati e quindi la stesura di un piano di mitigazione dei rischi. Il DPO analizzerà il rapporto e proporrà eventuali migliorie. Se il rapporto è approvato si passa all'attuazione delle misure di sicurezza proposte.
Esempi di impatto che una violazione dei dati personali potrebbe avere sugli interessati sono:
- impatto finanziario (dati di accesso a conti correnti, credenziali carte di credito)
- impatto reputazionale
- compromissione di opportunità di lavoro (divulgazione di dati concernenti attività non ben viste nella società, come contenuti per adulti, vita sessuale, ecc.)
- furto di identità (malintenzionati che si fingono altri soggetti per commettere reati).
La DPIA è inoltre uno strumento particolarmente utile per i Titolari del trattamento che, ad esempio stanno acquistando da un terzo produttore una licenza d’uso per nuovi dispositivi tecnologici (licenze software, banche dati, hardware).
Si pensi al Titolare che eroga servizi di formazione on line (cosiddetto e-learning), che debba decidere se e a quali condizioni concludere un accordo commerciale con un produttore di sistemi di riconoscimento biometrico che possano implementare la piattaforma, oppure ad una palestra, dove si decide di installare all'ingresso un lettore di impronte digitali per l'accesso automatico dei clienti (dati biometrici).
In tal caso, prima di sottoscrivere un contratto e avviare l’utilizzo di una tecnologia che implica la raccolta e il trattamento del dato biometrico, il Titolare dovrà fare una DPIA per inquadrare allo stato attuale il livello di rischio al quale sarebbero esposti i dati personali coinvolti nei trattamenti oggetto del servizio e, una volta definito il rischio, dovrà organizzarsi per assumere la decisione finale.
In base al principio dell'Accountability la DPIA dovrà periodicamente essere revisionata attraverso l’aggiornamento a cadenza trimestrale, semestrale o annuale delle altre “voci” della responsabilizzazione: il Registro dei trattamenti, le condotte strutturate e poste in essere secondo la Privacy by Design (protezione fin dalla progettazione) e la Privacy by Default (protezione per impostazione predefinita), la registrazione di eventuali Data Breach (leggi anche l'articolo "Che cos'è un "Data Breach"").
Da quanto esaminato, appare evidente il ruolo della DPIA: non deve essere intesa né vissuta dai Titolari del trattamento meramente come un onere relativo al GDPR o un formalismo burocratico, ma deve essere affrontata come un’opportunità fino a divenire un "modus operandi" propositivo e collaudato!
Se la tua azienda non ha ancora preso provvedimenti per adeguarsi alla normativa, contattaci senza impegno per informazioni o per un preventivo gratuito, il nostro team di specialisti in materia di Privacy ed esperti DPO saprà consigliarti la soluzione migliore commisurata alla tua attività!
Ci puoi trovare ai nostri recapiti:
Cel. 371 46 37 145 - 371 46 30 129
oppure tramite chat con un nostro operatore cliccando sul box "Serve aiuto" o sul bottone blu con i 3 puntini ". . ." nella versione Mobile.