DPIA: cos’è la valutazione d’impatto e il calcolo dei rischi

LA VALUTAZIONE DI IMPATTO ossia l’individuazione e gestione del RISCHIO

Prima di approfondire di che cosa si tratta se parliamo di una DPIA è obbligatorio chiarire inanzitutto cosa si intende per rischio. Con “rischio” , in riferimento ai “diritti e le libertà” degli interessati, va inteso come relativo al diritto della privacy, ma può essere riferito anche ai diritti fondamentali di libertà d’espressione e di pensiero, la libertà di movimento, il dievieto di discriminazione, il diritto alla libertà di coscienza e di religione. Tale diritti saranno, in base al trattamento messo in atto, più o meno esposti al rischio. Si tratta quindi di uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità per i diritti e le libertà delle persone fisiche.

Come possiamo quindi individuare e successivamente gestire i potenziali rischi nella gestione dei dati personali?

L’art. 35 del GDPR prevede la valutazione sulla protezione dei dati personali (DPIA) con riguardo a un trattamento che può presentare un elevato rischio per i diritti e le libertà delle persone fisiche. Tale imposizione legale implica quindi di poter individuare quali ambiti sono ritenuti più a rischio di altri, poiché un trattamento di dati personali non è di per se classificabile a priori ad elevato rischio.

L’indicazioni fornite del GDPR per individuare le categorie di trattamento con elevato rischio:

  • su larga scala
  • di profilazione
  • di sorveglianza di zone accessibili al pubblico su larga scala
  • che prevedono l’utilizzo di categorie particolari di dati
  • con l’utilizzo di un grado di conoscenza tecnologica elevato
  • che prevedono l’utilizzo di dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza

Oppure, descrivendo l’ambito ancora più generalizzato, si tratta di trattamenti che rendono difficoltoso l’esercizio di protezione e di garantire i diritti degli interessati.

Chi deve eseguire la DPIA?

Il Regolamento descrive chiaramente che il soggetto cui spetta il compito di gestire il rischio che incombe sui dati personali e valutarne il livello è il titolare del trattamento. Chiaramente, la dove è stato incaricato DPO, il titolare dei dati si avvale del supporto specialistico da parte del DPO. Inoltre, come anche suggerito dal Garante della privacy, la conduzione materiale della valutazione di impatto può essere affidata ad un soggetto interno o esterno all’organizzazione.

Le singole fasi del processo di gestione del rischio privacy:

  • La mappatura dei trattamenti effettuati, coincide con il registro dei trattamenti redatto. Un documento che riporta una descrizione delle tipologie di dati, degli interessati, le finalità del trattamento, dei trasferimenti e delle valutazioni del caso. Il citato registro sarà inoltre utile per effettuare la valutazione dei rischi in quanto fornisce già le informazioni utili alla valutazione.
  • La valutazione del rischio privacy sui trattamenti mappati nella fase 1, tiene in considerazione i seguenti elementi: origine – natura – gravità- probabilità- impatto sui diritti e le libertà degli interessati. La “gestione del rischio” è definibile come l’insieme coordinato delle attività finalizzate a guidare e monitorare un titolare dei trattamenti nel riguardo di tale rischio.
  • La conduzione della DPIA, è prevista dal Regolamento europeo e deve essere effettuata a monte del trattamento, cioè in fase di progettazione. Come vale anche per ogni altra azione di adeguamento, anche la DPIA deve essere verificata e aggiornata con regolarità. In questo modo si evince subito se determinate scelte di misure tecniche o organizzative siano ancora valide ed efficace o se dovranno essere adeguate alla situazione variata. Sarà inoltre importante definire e documentare eventuali ulteriori ruoli e responsabilità in rapporto alle politiche, ai processi e alle disposizioni interne scelte.
Una DPIA deve contenere:
  1. una descrizione sistematica e funzionale del trattamento
  2. gli strumenti coinvolti nel trattamento dei dati personali
  3. i codici di condotta a cui l’organizzazione ha deciso di aderire
  4. una valutazione di necessità e proporzionalità del trattamento, incluso le misure adottate
  5. una valutazione delle minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilità dei dati, incluse relative probabilità e gravità
  6. una stima degli impatti potenziali sui diritti e le libertà degli interessati in caso di eventi fra cui illegittimo, modifiche indesiderate e indispensabilità dei dati
  7. le misure per la gestione dei rischi e mitigazione degli impatti
  8. il coinvolgimento dei soggetti interessati o opinione del DPO
  • La notifica al Garante sarà necessaria, nel caso risultino trattamenti con un livello ancora “non accettabile” dopo la fase 2 del percorso di valutazione. Il titolare dovrà quindi consultare l’autorità di controllo, avviando un iter di valutazione da parte dell’autorità competente. Nel caso in cui , alla conclusione della DPIA risultano rischi, attenuati tramite misure di sicurezza più idonei, e quindi a livello “accettabili” non occorre interpellare l’autorità Garante.

Un esempio riportato dal WP29 riguardo il cosiddetto “rischio residuale elevato” non accettabile, descrive la situazione generica derivante dall’impossibilità di ridurre il numero di soggetti in grado di accedere ai dati in base alle modalità di condivisione, utilizzo o distribuzione dei dati – i servizi in cloud, soprattutto su base gratuita. Le conseguenze derivanti per l’interessato (significative, irreversibili e non eliminabili) come la minaccia per la vita dello stesso, la perdita o sospensione del rapporto lavorativo, nonché danni di natura finanziaria, sono un rischio elevato.

Il registro delle DPIA

Come abbiamo già detto, il titolare del trattamento deve decidere quali sono le misure più idonee per attenuare i rischi emersi alla conclusione della DPIA. Lo scopo è riportarli ad un livello “accettabile”. A prescindere del resultato “accettabile” o “non accettabile” e la conseguente richiesta di valutazione al Garante, nel secondo caso, il titolare ha l’obbligo di motivare e documentare le scelte effettuate.

In pratica significa che il titolare sarà obbligato a dimostrare l’eventuale mancata conduzione della DPIA, annotando o allegando l’opinione del DPO. Risulta quindi anche qui di fondamentale importanza la valutazione del rischio (fase 2).

È richiesto inoltre un registro delle DPIA (ogni trattamento con elevato rischio ha la propria DPIA!). Tale documento si traduce nella redazione e nel mantenimento di un apposito registro o nella integrazione del registro dei trattamenti. Si nota ancora una volta, quanto siano importanti gli strumenti introdotti dal GDPR quale: registro dei trattamenti, DPO e DIPA. Nel registro emergono di conseguenza sia la mappatura delle attività di trattamento effettuate si la valutazione del rischio annesso e l’eventuale pianificazione delle misure di sicurezza necessarie per mitigare i rischi e impatti sulla privacy.

Le misure per la gestione del rischio – accountability

La mitigazione del rischio e l’accountability sono tasselli chiave nel processo di una DPIA. Dobbiamo tenere presente di adoperare le misure corrette e commisurate al fine di mitigare o limitare il rischio. Inoltre siamo obbligati di tenere traccia non solo della valutazione stessa, delle misure messe in atto ma anche della decisione di non fare nulla. Vediamo le misure di sicurezza da poter operare:

  • qualità dei dati
  • cifratura
  • conservazione adeguata
  • Anonimizzazione dei dati
  • minimizzazione
  • Misure tecnologiche: policy di sicurezza logiche e fisiche, aggiornamenti servizi e software, test, controllo accessi e tracciamento operazioni
  • Misure organizzative: ruoli, governance, istruzioni, formazione, procedure, audit, strumenti di controllo per gli interessati, contatti

Conclusione

Una valutazione dei rischi privacy si articola in vari fasi di attività che riguardano aspetti privacy e sicurezza. Tutti i singoli processi sono da analizzare contestualmente. I componenti che compongono il processo di valutazione del rischio, se sono ben identificati e analizzati, costituiranno la traccia per realizzare una valutazione pertinente ed efficiente. Una valutazione adattabile ad ogni contesto ed in grado di indicare al titolare del trattamento se sia necessario procedere con la notifica al Garante o assumersi la responsabilità di procedere al trattamento.

Noi ti aiutiamo con competenza ed esperienza a individuare e mitigare i rischi privacy nella tua attività.