GDPR PRIVACY: La valutazione d’impatto

Regolamento europeo privacy 2018 valutazione d'impatto DPIA

La valutazione d’impatto rappresenta una vera e propria novità organizzativa apportata dal GDPR (General Data Protection Regulation) o Regolamento UE 2016/679 e consiste in un’anali concreta (fatta a monte) dei rischi generati dalla possibilità di eventuali violazioni dei dati personali raccolti.

Si tratta in pratica di un vero e proprio documento, detto Data protection impact assessment (DPIA) o Privacy Impact Assessment (PIA) o Documento di valutazione d’impatto nel trattamento dei dati. Sono gli articoli 35 e 36 del Regolamento Europeo a sancire questa importante novità. Cerchiamo di capire bene di cosa si tratta, per poter attuare in tempo un giusto adeguamento alla nuova normativa.

In questo articolo parleremo di:

Cosa significa fare una valutazione d’impatto

Il trattamento improprio dei dati personali potrebbe provocare un danno fisico, materiale o immateriale alla persona fisica, di entità e/o gravità diverse, a seconda dei casi: per questo motivo, il legislatore europeo ha voluto istituire lo strumento della “valutazione d’impatto sulla protezione dei dati” (articolo 35).

Si tratta di un’analisi che mira a prevedere quali siano i possibili rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali: la normativa adotta così un approccio basato sulla valutazione preventiva dei rischi, seguita, poi, dalla messa in atto delle misure di sicurezza più adeguate, in particolare di fronte all’uso di nuove tecnologie.

E’ per questo che il titolare del trattamento dovrà redigere il Data Protection Impact Assessment (DPIA o Documento di valutazione d’impatto nel trattamento dei dati), che sarebbe, in sostanza, un’analisi approfondita del rischio dell’azienda basata su elementi concreti.

Tramite questo documento le imprese avranno a disposizione uno strumento operativo con il quale valutare e analizzare con sistematicità i rischi legati alla privacy dei soggetti per i quali si rende necessario raccogliere i dati personali. Integrandosi perfettamente con il concetto di privacy by design, la valutazione d’impatto aiuta le aziende a individuare quelli che potrebbero essere i problemi potenziali già nella fase iniziale del progetto, in modo tale da anticiparne la gestione e rendere così la gestione della privacy più efficace e meno costosa.

Il Data Privacy Impact Assessment andrà a sostituire il documento imposto dal Codice della Privacy, detto Documento programmatico sulla sicurezza (DPS).

Quando è obbligatorio procedere alla valutazione d’impatto

L’articolo 35 in realtà afferma che il titolare deve effettuare una valutazione d’impatto “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche“.
Elenca inoltre specifici casi in cui tale valutazione diventa obbligatoria ossia:

  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche basata su un trattamento automatizzato (compresa la profilazione) e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • il trattamento, su larga scala, di categorie particolari di dati personali quali l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché il trattamento dei dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona o di dati relativi a condanne penali e a reati
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico

Questi sono i casi in cui obbligatoriamente il titolare del trattamento deve procedere ad una valutazione d’impatto dei rischi. In ogni caso ci sono attività che possono non rientrare in queste specifiche categorie, ma che possono rappresentare un rischio per il trattamento dei dati, pertanto effettuare un DPIA non solo diventa un elemento importante nella gestione dei dati personali, ma può diventare un strumento di tutela dell’impresa stessa.

Per fare chiarezza sui criteri da seguire nel valutare quando un trattamento può rappresentare un rischio elevato per i diritti e la libertà degli interessati, il Gruppo Art. 29 ha elaborato delle linee guida per orientarsi in materia.

Vediamo i criteri individuati dalla commissione di studio.

» Trattamenti valutativi compresa la profilazione e attività predittive, in particolare a partire da “aspetti relativi al rendimento professionale, alla situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato a preferenze, sua ubicazione e spostamenti”; per fare un esempio: un istituto finanziario che effettui lo screening dei propri clienti usando un database di rischio creditizio oppure una società che crei profilo comportamentali o di marketing partendo dalla navigazione online.
» Decisioni automatizzate che possono avere importanti effetti giuridici o di analoga natura; ad esempio o trattamenti che possono comportare l’esclusione di una persona fisica da determinati benefici o la sua discriminazione.
» Monitoraggio sistematico ossia quei trattamenti usati per osservare, monitorare, controllare gli interessati, compresa la raccolta dei dati attraverso la rete o la raccolta di dati in aree accessibili al pubblico.
» Dati sensibili o dati di natura strettamente personale: si pensi ad esempio alle condanne penali o simili.
» Trattamenti di dati su larga scala: il concetto di “larga scala” è da intendersi riferito al numero di soggetti interessati, volume di dati, durata o persistenza delle attività di trattamento, ambito geografico del trattamento.
» Combinazione o raffronto di insiemi di dati: ad esempio derivanti da due o più trattamenti svolti per finalità differenti o da titolari distinti.
» Dati relativi ad interessati vulnerabili: ad esempio quelli relativi ai minori, ai dipendenti, ai soggetti psichiatrici, i richiedenti asilo, gli anziani, i pazienti e ogni interessato rispetto al quale possa identificarsi una situazione di disequilibrio con il rispettivo titolare del trattamento.
» Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative: ad esempio le applicazioni legate all’Internet delle cose (ossia quella rete di apparecchiature e dispositivi, diversi dai computer, che sono in qualche modo connessi a Internet: ad esempio i sensori per il fitness, automobili, radio, impianti di climatizzazione, ma anche elettrodomestici, lampadine, telecamere, pezzi d’arredamento, container per il trasporto delle merci. In pratica qualsiasi dispositivo elettronico dotato di un proprio software in grado di scambiare dati con altri oggetti connessi).
» Tutti quei trattamenti che, di per sè, impediscono (agli interessati) di esercitare un diritto o di avvalersi di un servizio o di un contratto: ad esempio i trattamenti finalizzati a permettere, modificare o negare l’accesso degli interessati a un servizio o la stipulazione di un contratto (per fare un esempio concreto si può pensare allo screening dei clienti di una banca mediante i dati registrati in una centrale rischi al fine di stabilire se ammetterli o meno ad un finanziamento).

Per operazioni che coinvolgano due o più di questi criteri sarebbe auspicabile effettuare un DPIA, anche laddove non fosse obbligatorio. Per fare un qualche esempio:

Esempio 1) – possiamo pensare al caso dell’uso di un sistema di telecamere per monitorare il comportamento di guida sulle autostrade. In tal caso, poiché il sistema di controllo individua gli autoveicoli scannerizzando in automatico le targhe, abbiamo qui due criteri: il monitoraggio sistematico e l’uso innovativo o l’applicazione di nuove soluzioni tecnologiche, pertanto è richiesto un DPIA.

Esempio 2) – potrebbe essere quello della raccolta dei profili pubblici da parte dei social media che poi vengono utilizzati da aziende private per la generazione di database di profili di contatto. In questo caso, ricorrono i seguenti criteri: la gestione di dati su larga scala e la valutazione del comportamento. E’ quindi obbligatorio procedere ad un DPIA.

A questo proposito, il “Gruppo “Articolo 29” (Gruppo ) ha pubblicato il seguente schema di orientamento nella valutazione dei rischi:

Privacy 2018 - Valutazione d'impatto sulla protezione dei dati (DPIA)

Privacy 2018 – Valutazione d’impatto sulla protezione dei dati (DPIA)

Fonte immagine: Garante per la Protezione dei Dati Personali

Come si fa un DPIA

La stesura di un DPIA corretto prevede che si seguano determinati step. Vediamo quali sono:

1 – Valutare l’opportunità di fare un DPIA

In questa fase si fa un’attenta analisi del progetto, dell’attività da svolgere, in modo tale da capire se sia necessario o meno procedere con una valutazione dei rischi. Qualora si individui la necessità di effettuare un DPIA, bisognerà procedere alla valutazione di come integrarlo nelle varie fasi del processo di project management già consolidato all’interno dell’organizzazione: in questo modo, quanto emergerà dal DPIA, potrà andare a completare il progetto, in modo tale da non perdere mai di vista la gestione dei dati personali.

2 – Descrizione dei flussi di informazioni e coinvolgimento dei partecipanti

In questa fase occorre individuare con precisione quali dati saranno utilizzati, come e in quali fasi del progetto serviranno, per quali finalità verranno raccolti, da chi sono ottenuti e a chi saranno comunicati e soprattutto chi ne avrà l’accesso. In pratica si fa un vero e proprio screening della raccolta dei dati personali.Sarà opportuno, quindi, individuare una sequenza composta da stadi di utilizzo dei dati come una sequenza logica dei trattamenti, da quando i dati vengono ricevuti dall’esterno a quando vengono aggregati, elaborati, storicizzati e poi ulteriormente trasferiti.

3 – Identificazione dei rischi privacy e di quelli correlati

E’ la fase in cui si cerca di individuare i rischi di privacy. Per ogni stadio individuato nella fase precedente si cerca di porre un set di quesiti che consenta di far emergere le vulnerabilità e le minacce e su queste determinare gli effetti su cui quantificare gli impatti.

Le organizzazioni potrebbero decidere di usare standard di settore o propri e metodologie di Project Management o di Risk Management per aiutarsi a categorizzare, identificare e misurare i rischi. Utile in questo step è valutare il rischio in termini di coefficienti di probabilità e di gravità secondo scale numeriche associate a classi di valori.

Alla fine di queste valutazione si può redigere un documento, detto Privacy Risk Register o Registro dei rischi sulla privacy, dove indicare tutte le valutazioni fatte, compresa la mappatura dei rischi da integrare nel progetto in generale.

4 – Identificazione delle soluzioni e delle misure di sicurezza

In questa fase vengono individuate le possibili soluzioni per i vari rischi censiti. Il documento che si sta scrivendo deve quindi contenere una serie di possibili opzioni per evitare che si possano presentare i rischi. In realtà occorre precisare che con il DPIA non si vuole ridurre a zero l’impatto del rischio, ma portarlo sicuramente ad un valore accettabile.

E’ qui poi che vanno valutati i costi e i benefici delle possibili soluzioni. Alcuni costi sono strettamente finanziari (ad es. per l’acquisto di un nuovo software che gestisca al meglio l’accesso ai dati e la loro conservazione). La maggior parte dei costi pero’ deve sempre trovare il giusto bilanciamento con i benefici attesi, come per esempio una maggiore garanzia per proteggersi da violazioni dei dati, un minore rischio di sanzioni o provvedimenti o di essere esposti ad effetti reputazionali.

5 – Approvazione delle decisioni e registrazione dei risultati

Per ciascuna soluzione individuata sarebbe opportuno verbalizzare i vari passi seguiti nel processo decisionale, compreso chi le ha approvate. Lo stesso quando si decide di accettare l’eventualità di un rischio, bisognerebbe verbalizzare l’argomentazione sostenuta e l’assunzione di responsabilità.

Alla fine di tutto questo processo si redigerà il report finale (ossia il DPIA), da allegare poi alla documentazione dell’intero progetto, che riporti la verbalizzazione delle fasi precedentemente svolte, consentendo così anche a posteriori di risalire alle motivazioni delle scelte fatte in base ai dati rilevati e verbalizzati.

Il DPIA, così redatto, può essere anche una forma di comunicazione e di trasparenza verso gli interessati che possono eventualmente chiederne la consultazione e diventare così una vera e propria strategia di comunicazione.

6 – Integrazione dei risultati del PIA nel piano di progetto

Una volta redatto il DPIA, questo va allegato e integrato al piano di progetto. Man mano che il progetto si sviluppa potrebbe essere necessaria la revisione di alcune parti del DPIA stesso.

La consultazione preventiva con il Garante

Dopo aver effettuato la valutazione di impatto, il titolare deciderà autonomamente se iniziare il trattamento (in quanto si ritiene adeguatamente idoneo ad evitare il rischio di lesione della privacy) oppure potrà decidere di consultare l’autorità di controllo competente per avere indicazioni su come gestire il cosiddetto rischio residuale (articolo 36).

E’ bene precisare che in questa sede l’autorità non deve autorizzare il trattamento, ma deve dare indicazioni sulle misure ulteriori eventualmente da implementare a cura del titolare e potrà, dove necessario, adottare tutte le misure correttive indicate nell’articolo 58 (che vanno dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento).

Aggiungiamo, infine, che, a proposito della richiesta di intervento delle autorità di controllo, è bene sottolineare che tale intervento avviene dopo che il titolare ha implementato le sue misure tecniche e organizzative di gestione dei dati personali secondo le finalità perseguite. In questo la nuova normativa europea modifica sostanzialmente il Codice della Privacy che imponeva la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare). Questi obblighi sono adesso sostituiti sia dalla citata consultazione preventiva con l’autorità di controllo sia dall’obbligo di tenuta di un registro dei trattamenti da parte del titolare.

Tra le misure tecniche che il titolare del trattamento può adottare sono da menzionare la pseudonimizzazione e la cifratura dei dati.

La pseudonimizzazione è definita dal regolamento stesso in questo modo “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (articolo 4 – Definizioni).

In altre parole, questa tecnica consiste nel conservare i dati di un soggetto in un formato anonimo ossia che non permetta l’identificazione di una persona specifica: solo tramite l’utilizzo di informazione aggiuntive, come ad esempio liste di corrispondenza delle identità con i relativi pseudonimi o algoritmi crittografici bidirezionali, si renderebbe possibile l’identificazione del soggetto interessato.

 

Vuoi saperne di più

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!