La DPIA: definizione, obblighi, responsabilità, attuazione

gestore Febbraio 11, 2019 0

L’articolo 35 del Regolamento UE 2016/679 introduce il processo di valutazione d’impatto sulla protezione dei dati e consultazione preventiva(Data Protection Impact Assessment o DPIA).

La DPIA è una attività di analisi dei rischi che ha come obiettivo quello di valutare le minacce e le vulnerabilità che insistono sugli asset aziendali i quali, essendo connessi ai dati personali, costituiscono un valore da proteggere. Al termine della fase di analisi, l’Organizzazione deve essere in grado di valutare per ogni asset il livello di rischio al quale riferirsi per poi stabilire se accettarlo o se gestirlo attraverso l’applicazione di opportune contromisure.

Onde evitare di esporre l’Organizzazione a possibili rischi di violazione dei dati, la DPIA va svolta prima di qualsiasi attività di trattamentoavendo chiari una serie di fattori quali l’origine, la natura, la probabilità, la gravità del rischio, l’ambito di applicazione, il contesto e le finalità del trattamento stesso.

La DPIA va eseguita con sistematicità ogni qualvolta si è in presenza di un cambiamento significativo all’interno della Organizzazione, ad esempio a seguito della introduzione di un nuovo asset che ha impatto sui dati. Sebbene, la DPIA sia rivolta prevalentemente agli archivi/documenti cartacei e a tutti i sistemi informativi attraverso i quali vengono trattati i dati personali, è buona prassi estendere tale approccio a tutti gli asset presenti all’interno della Organizzazione (processi, servizi, banche dati, hardware, ecc.) e non solo a quelli che hanno rilevanza ai fini del Regolamento generale sulla protezione dei dati personali (RGPD).

Ma quali sono le Organizzazioni tenute ad effettuare la DPIA? Secondo le “linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del regolamento 2016/679”, l’obbligo ricade quando:

si è in presenza di una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
vi sia un trattamento, su larga scala, di categorie particolari di dati personali (art.9 par.1), o di dati relativi a condanne penali e a reati (art.10);
è prevista una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Vi sono inoltre alcuni fattori che determinano la necessità o meno di effettuare una DPIA come il volume di dati trattati, lo stato patrimoniale dell’Organizzazione, la necessità di trasferire i dati verso Paesi situati al di fuori dell’Unione Europea e il livello di rischiosità che è funzione della:

natura del dato trattato (personale o particolare);
eventualità di diffondere il dato pubblicamente;
eventualità di divulgare il dato a un numero rilevante di persone.

Chi è il responsabile del processo? La responsabilità della DPIA spetta al titolare del trattamento il quale ha facoltà di coadiuvarsi con altre figure coinvolte nel RGPD come il Data Processor Officer (DPO) e i vari Responsabili del trattamento al fine di individuare misure atte a mitigare il rischio che incombe sui dati.

In relazione ai molti elementi in comune con RGPD, vediamo ora quali sono le fasi da intraprendere per valutare i rischi di possibili violazioni sui dati secondo lo standard internazionale ISO 27001:

In primo luogo è necessario procedere con il censimento degli asset (o gruppi di essi laddove sussistano requisiti di omogeneità) secondo una opportuna classificazione (tipologia, ubicazione, ecc.) che ne determini il loro valore;
In secondo luogo è necessario associare gli asset ai dati da proteggere attribuendo a questi ultimi dei valori di soglia in termini diriservatezza, integrità e disponibilità;
Quindi si procede con la individuazione e la successiva valutazione delle minacce che incombono sugli asset e quindi sui dati ad essi collegati; l’individuazione delle minacce è una operazione tipicamente riposta in tutti quei referenti della Organizzazione (tecnici, organizzativi, commerciali, amministrativi, legali) che per competenza ed esperienza sono in grado di mettere in relazione le minacce con eventi accaduti in passato anche in contesti simili a quello di riferimento; mentre la valutazione di una minaccia significa attribuire ad essa il livello di probabilità di accadimento secondo una scala predefinita;
Il passo successivo richiede l’individuazione di una serie di controlli di tipo tecnico e/o organizzativo in grado di rilevare in funzione del loro stato di applicazione il livello di vulnerabilità presente su ciascun asset; una maggiore rispondenza al requisito richiesto dal controllo determina un minor livello di vulnerabilità;
Combinando il valore degli asset (2) e la probabilità di accadimento di una minaccia (3) si ottiene il “rischio intrinseco” il quale, moltiplicato per il valore della vulnerabilità (4), consente di ottenere il “livello di rischio” per un dato asset;
Al termine dei calcoli, il livello di rischio ottenuto deve essere riesaminato ed eventualmente trattato (piano di trattamento del rischio);
Il piano di trattamento può essere avviato nei casi in cui ad esempio insorgono variazioni di rischio nell’ambito di determinate attività di trattamento per cui si rende necessario riesaminare le misure intraprese (controlli) per poi valutare se accettare il rischio per un dato asset, ovvero porre in essere una serie di azioni per ridurlo, trasferirlo o magari condividerlo con altri stakeholder.

Il procedimento sopra descritto può essere affrontato in modalità manuale mediante il supporto di fogli di calcolo, ovvero attraverso soluzioni software che supportino maggiormente le aziende nella DPIA e, più in generale, per soddisfare i requisiti normativi richiesti da RGPD. Tuttavia, sebbene tali strumenti possano ritenersi utili, l’efficacia della DPIA non può prescindere dal coinvolgimento di figure specialistiche che, per comprovata esperienza siano in grado di guidare le aziende nella gestione dell’intero ciclo di vita del processo di conformità al RGPD.

Previous Post: GDPR – Decreto Attuativo del 4 settembre 2018

Next Post: Regolamento Generale Protezione Dati Personali: fasi del processo

Comments are closed, but trackbacks and pingbacks are open.

Vademecum - Il condominio e la privacy

Il vademecum è stato realizzato prima dell’applicazione del Regolamento UE 679/2016, avvenuta in data 25 maggio 2018, circostanza di cui occorre tener conto nella consultazione
Misure idonee di sicurezza

Misure idonee di sicurezza: garantire integrità e riservatezza dei dati
Avvocati e GDPR

Avvocati e GDPR, adeguare lo studio legale alle norme privacy: le best practice
Vademecum - La scuola

Insegnare la privacy, rispettarla a scuola
Ordine dei Medici Chirurghi e degli Odontoiatri

Pubblicazione e accesso alle informazioni ambientali
Il garante francese rilascia un tool per eseguire DPIA

22 novembre scorso il CNIL – l’autorità francese per la protezione dei dati – ha rilasciato la versione beta di un software open source per assistere i Titolari di trattamento nell’esecuzione dei DPIA, i Data Protection Impact Assessment previsti dal GDPR. Il tool è scaricabile in locale (per Windows, MacOS, Linux) o fruibile online.
Is Google Analytics GDPR Compliant?

As we get closer to 25 May, the deadline for the new EU data regulations (GDPR), more and more questions are being raised. One of these questions is how Google Analytics measures up to these new regulations. (If you are not familiar with the content of GDPR, here are useful summaries of what GDPR is and how it will impact digital marketing.)
I sistemi di videosorveglianza

L’utilizzo di sistemi di videosorveglianza da parte delle imprese è molto diffuso, soprattutto per la protezione del patrimonio aziendale e per la sorveglianza di spazi e luoghi. Tuttavia, il loro impiego richiede alcune verifiche preliminari e alcune accortezze che non possono essere trascurate.
DECRETO LEGISLATIVO 10 agosto 2018, n. 10

Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129) (GU Serie Generale n.205 del 04-09-2018)

WhatsApp, maxi multa da 220 milioni di dollari per violazione della privacy Luglio 25, 2024
La Federal Competition and Consumer Protection Commission (FCCPC) della Nigeria ha inflitto a Meta una maxi multa di 220 milioni di dollari per aver violato la legge sulla privacy con l’imposizione della nuova policy di WhatsApp. Come molti utenti ricorderanno, all’inizio del 2021 doveva entrare in vigore la nuova policy sulla privacy di WhatsApp che […]
FederPrivacy
Google fa marcia indietro e dopo anni di rinvii annuncia che non eliminerà più i cookies di tracciamento online dal proprio browser Chrome Luglio 25, 2024
Google fa marcia indietro e, dopo anni di rinvii, non eliminerà più i cookies di terze parti con cui traccia gli utenti attraverso il proprio browser Chrome. Il colosso tecnologico aveva annunciato più volte che avrebbe eliminato l'utilizzo dei cookies di terze parti una volta compreso in che modo combinare le esigenze di utenti, editori […]
FederPrivacy

IA specchio dell’umanità? I rischi di un riflesso distorto Luglio 24, 2024
L'intelligenza artificiale riflette i valori e i limiti dell'umanità, sollevando importanti interrogativi etici e filosofici. Analizzando le teorie evolutive di Konrad Lorenz e le riflessioni contemporanee di Shannon Vallor, si evidenziano i rischi di un rispecchiamento tecnologico che potrebbe compromettere la nostra creatività e capacità di innovazione L'articolo IA specchio dell’umanità? I rischi di un […]
Marco Ongaro
AI e dati sanitari: cosa cambia con il nuovo Ddl italiano Luglio 24, 2024
L'AI Act mira a prevenire la frammentazione normativa nel mercato interno. Esclude settori come difesa e sicurezza nazionale, ma lascia spazio a integrazioni nazionali in ambiti specifici. Il nuovo disegno di legge italiano propone norme per l'uso dell'AI nella sanità, bilanciando innovazione e protezione dei dati personali L'articolo AI e dati sanitari: cosa cambia con […]
Diego Fulco