Temi

Shape 5 Live Search

logo

Il nuovo regolamento generale ha un approccio basato sulla valutazione del rischio (risk based), piuttosto che sulla protezione dell'utente.

Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Quindi, il rischio inerente al trattamento è da intendersi come l'impatto negativo sulle libertà e i diritti degli interessati

 

Rischio del trattamento

Il Considerando 75 ci aiuta con riferimento al concetto di rischio: "I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati". 

Si tratta di uno dei criteri previsti dal regolamento generale per la progettazione dei trattamenti, che appunto prevede l'obbligo di una analisi del rischio del trattamento, e quindi della valutazione delle misure tecniche od organizzative che il titolare ritiene di dover adottare per ridurre l'eventuale rischio. 

Per ogni rischio occorre individuare la probabilità dell'evento, nonché la gravità dello stesso. Un esempio classico riguarda la dismissione delle stampanti con memoria, senza aver provveduto a cancellare la memoria, e quindi con l'astratta possibilità che un terzo possa acquisire le immagini ottiche degli ultimi documenti stampati o scansionati. 

 

Tipi di rischio

Trattamento (raccolta) di dati non necessario in base alla finalità 
Vedi art. 5, par. 1 lett. b) (principio di finalità), art. 13

Informativa e termini non chiari o trasparenti
Vedi art. 4, par. 11 (consenso dell'interessato) e art. 13

Dati personali non aggiornati o obsoleti
Vedi art. 15 e 16 (diritto di rettifica)

Perdita di dati lato operatore
Vedi art. 32 (misure di sicurezza)

Inefficace o intempestiva cancellazione dei dati personali
Vedi art. 17 (diritto alla cancellazione)

Condivisione di dati con terze parti
Vedi art. 7 (condizioni per il consenso), inoltre anche art. 21 (diritto di opposizione) e 22 (processi decisionali automatizzati)

Trasferimento dati non sicuro
Vedi art. 32 (misure di sicurezza)

Comunicazione non tempestiva delle violazione di dati
Vedi art. 33 e 34 (notifica violazione dati e comunicazione all'interessato)

Vulnerabilità delle applicazioni web
Vedi art. 32 (misure di sicurezza)

 

Valutazione di impatto (DPIA)

La valutazione di impatto del trattamento (D.P.I.A., cioè Data Protection Impact Assessment) è un onere posto direttamente a carico del titolare del trattamento (art. 35 GDPR), col quale si assicura trasparenza e protezione nelle operazioni di trattamento dei dati personali. E' lo strumento cardine tramite il quale il titolare effettua l'analisi dei rischi derivanti dai trattamenti posti in essere. Il titolare, quindi, deve sviluppare una valutazione preventiva (quindi prima di iniziare il trattamento) delle conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati. Il responsabile del trattamento deve assistere il titolare fornendogli ogni informazione necessaria. 

La valutazione del rischio, da realizzare per ogni singolo trattamento, dovrà portare il titolare a decidere in autonomia se sussistono rischi elevati inerenti il trattamento, in assenza dei quali potrà procedere oltre. Se invece ritenesse sussistenti rischi per le libertà e i diritti degli interessati, dovrà individuare le misure specifiche richieste per attenuare o eliminare tali rischi
Solo nel caso in cui il titolare non dovesse trovare misure idonee a eliminare o ridurre il rischio, occorrerà consultare l'Autorità di controllo. L'Autorità interviene solo ex post, sulle valutazioni del titolare, indicando le misure ulteriori eventualmente da implementare, fino ad eventualmente ammonire il titolare o vietare il trattamento. 
In ogni caso il titolare dovrà giustificare le sue valutazione e rendicontarle nel registro dei trattamenti

Il titolare deve consultarsi col DPO quando svolge la valutazione di impatto, il quale DPO ha il compito di fornire, se richiesto, un parere in merito alla valutazione di impatto e sorvegliarne lo svolgimento. Nel caso in cui il titolare non concordi con le indicazioni del DPO dovrà motivare e documentare il suo dissenso. 

Addirittura, il par. 9 dell'art. 35 prevede la possibilità che il titolare consulti gli interessati coinvolti, per valutazioni sull'eventuale invasività del trattamento. 

 

Casi nei quali la DPIA è necessaria

A differenza delle valutazioni di sicurezza, la valutazione di impatto va sviluppata solo per particolari trattamenti, e cioè quando il trattamento prevede l'uso di nuove tecnologie e può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. L'articolo 35 del GDPR indica i criteri in base ai quali si individuano i casi nei quali la DPIA è necessaria: 

- il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici; 
- il trattamento riguarda dati sensibili o giudiziari su larga scala; 
- il trattamento riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 

L'EDBP ha pubblicato le Linee Guida relative alla Valutazione d’Impatto (WP 248 rev.01) precisando ulteriormente i criteri di cui all'art. 35, traducendoli in nove parametri (tra i quali la creazione di corrispondenze o combinazioni di insieme di dati, cioé trattamenti ulteriori rispetto alle originarie finalità o dati raccolti da diversi titolari; il trattamento di dati relativi a interessati vulnerabili, come minori, dipendenti, ecc.) utili all'individuazione dei casi di necessità della DPIA. 

Inoltre, il comma 5 dell’art. 35 concede alle Autorità di controllo Autorità di controllo la possibilità di redigere un elenco pubblico di tipologie di trattamenti per i quali si rende necessaria la DPIA. In tale prospettiva il Garante italiano, insieme alle alte autorità europee ha predisposto un elenco che è stato oggetto di parere da parte dell'EDBP (art. 64 GDPR). L'elenco è stato pubblicato con provvedimento dell'11 ottobre 2018, e ovviamente è vincolante ma non è esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dalle Linee Guida. 

DPIA elenco

Provvedimento del Garante (11 ottobre 2018): Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto

Sinteticamente l'elenco prevede tali ipotesi: 
1) Trattamenti valutativi o di scoring effettuati su larga scala, profilazione, attività predittive
2) Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici oppure tali da incidere in modo significativo sull’interessato, come impedire l’esercizio corretto di un diritto o di avvalersi di un bene o di un servizio o di poter continuare ad essere parte di un contratto in essere (ad es. lo screening effettuato sui clienti di una banca attraverso l’utilizzo dei dati registrati in una centrale rischi); 
3) Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati online o con App, il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione, e i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati anche per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc; 
4) Trattamenti su larga scala di dati aventi carattere estremamente personale (come definiti nelle Linee Guida), compreso dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti); 
5) Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti
6) Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo); 
7) Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable, cioè indossabili quali, ad esempio, gli smartwatch o gli stessi smartphone attraverso i software di assistenza e comando vocale, ndr.); tracciamenti di prossimità come ad es. il wi-fi tracking, ogniqualvolta ricorra anche almeno un altro dei criteri individuati nelle Linee Guida; 
8) Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche
9) Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. pagamenti effettuati tramite tecnologia mobile); 
10) Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse; 
11) Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento; 
12) Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento. 

Infine, in caso di dubbi il titolare potrà sempre rivolgersi alle Autorità di controllo per una consultazione preventiva sulla necessità o meno di effettuare la valutazione di impatto (art. 36). 

 

Contenuto della DPIA 

La valutazione di impatto deve contenere almeno: 

- la descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso l'interesse legittimo perseguito dal titolare;
- la valutazione dei rischi;
- le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento.  

Il titolare e il responsabile del trattamento provvedono a sviluppare la valutazione di impatto. E' preferibile che sia una squadra a portare avanti la valutazione, in modo che più componenti possano dare un contributo. La valutazione implica una analisi e descrizione delle aree critiche da esaminare, del profilo di tutti i soggetti coinvolti, gli effetti e le conseguenze del trattamento dei dati, una valutazione dei rischi collegati, e quindi la stesura di un piano di mitigazione dei rischi. Il DPO analizzerà il rapporto e proporrà eventuali migliorie. Se il rapporto è approvato si passa all'attuazione delle misure di sicurezza proposte. 

I rischi vanno elencati sia con riferimento alla natura del rischio, che in termini di probabilità del rischio, e delle conseguenze. In tal modo si realizza una classificazione di ogni tipo di rischio. Di seguito si specificano le modalità di mitigazione del rischio. La norma ISO/IEC 27001 elenca una serie di tipi di rischio e misure di sicurezza. 

 

Impatto

Esempi di impatto che una violazione dei dati personali potrebbe avere sugli interessati sono i seguenti:
- impatto finanziario (dati di accesso a conti correnti, credenziali carte di credito);
- impatto reputazionale, compromissione di opportunità di lavoro (divulgazione di dati concernenti attività non ben viste nella società, come contenuti per adulti, vita sessuale, ecc...);
- furto di identità (malintenzionati che si fingono altri soggetti per perpetrare reati). 

 

PIA tool

Il CNIL (autorità di controllo francese) ha messo a disposizione un software open source per la valutazione di impatto sia nella versione standalone (da scaricare sul computer) che in quella online. Anche il Garante italiano segnala questo software come tool per realizzare la valutazione. 

 

Individuazione e gestione del rischio - Il tutorial del Garante privacy

Video Placeholder