GDPR valutazione rischi e valutazione d’impatto


Il nuovo Regolamento Europeo sulla protezione dei dati prevede la necessità di effettuare alcune valutazioni specifiche sui trattamenti di dati personali. In questo articolo i nostri consulenti privacy, ci guideranno per conoscere gli elementi fondamentali al fine di mettere in pratica un modello di valutazione dei rischi e di impatto sulla protezione dei dati secondo i criteri richiesti dal GDPR.

Indice:

  1. valutazione dei rischi
  2. valutazione di impatto
  3. metodo di attuazione

 

 

Valutazione dei rischi

Sanzioni GDPR | Labor Project

 

Secondo quanto previsto nell’articolo 32 comma 1 il titolare o il responsabile del trattamento dei dati personali deve mettere in pratica misure tecniche ed organizzative affinché il livello di sicurezza sia adeguato al rischio.

  • I rischi

Nel valutare il rischio privacy, bisogna individuare innanzitutto:

  • La tipologia dei dati raccolti (dati personali comuni, categorie particolari di dati personali o addirittura dati giudiziari)
  • Il numero della registrazione, ovvero la quantità dei dati in possesso del titolare del trattamento

Per valutare il livello di sicurezza bisogna tenere presente i rischi nei quali il titolare del trattamento può incorrere. La definizione di rischio fornita dal Working Party 29 (ora denominato “European Data Protection Board”) è: “uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità” per i diritti e le libertà degli interessati.

Le conseguenze che possono derivare da un evento dannoso sui dati sono:

  • Distruzione
  • Perdita
  • Modifica
  • Divulgazione non autorizzata
  • Accesso ai dati

 

  • Probabilità e frequenza

Dopo aver individuato la tipologia dei dati raccolti e il loro numero bisogna individuare quali sono le misure di sicurezza tecnica ed organizzative che il titolare o il responsabile, qualora ci fosse, abbiano messo in atto per eliminare o abbassare il pericolo che possa verificarsi un data breach ovvero una violazione dei dati che si stanno trattando. In questo modo si calcola l’impatto che potrebbe avere sui dati una eventuale violazione. L’impatto è molto importante perché è uno dei parametri con cui si calcola il rischio. L’impatto può essere definito come “gli effetti di un evento dannoso sulla sicurezza dei dati”.

Il rischio si calcola moltiplicando l’impatto per la probabilità che l’evento possa accadere.

La probabilità invece non è altro che la frequenza dell’accadimento della minaccia.

Da un lato è necessario fare una valutazione storica per capire se in passato ci sono state delle casistiche e in caso di risposta affermativa occorre determinare la frequenza, ovvero quante volte questo rischio si è verificato (ad esempio un virus nel computer); al tempo stesso occorre verificare quante possibilità ci sono che questo possa accadere in futuro e per determinare questo ultimo punto ovvero la probabilità del rischio, bisogna valutare le misure tecniche ed organizzative messe in atto dal titolare del trattamento o eventualmente dal responsabile.

 

  • Le misure di attuazione

Esistono più misure tecniche ed organizzative da attuare affinché il livello di sicurezza sia adeguato. In ogni caso, il titolare del trattamento deve garantire il RID, cioè la Riservatezza, l’integrità e la disponibilità dei dati su base permanente. Tra queste le più significative sono:

  • Pseudonominizzazione, ovvero mascherare il dato  attraverso delle tecniche (spesso informatiche) che permettonodi rendere un dato non intellegibile se non attraverso una decodifica;
  • Velocità di accesso ai dati, si intende la capacità di ripristinare velocemente la disponibilità e l’accesso ai dati personali nel caso di incidente tecnico.
  • Procedura per testare, verificare l’efficacia delle misure tecnico organizzative al fine di garantire la sicurezza del trattamento.

 

  • La valutazione dei rischi è obbligatoria?

La valutazione dei rischi deve essere effettuata tenuto conto di due elementi:

  • è un passaggio essenziale per il titolare perché in base al risultato di questa valutazione può decidere se effettuare o meno una DPIA ovvero una valutazione d’impatto sulla protezione dei dati.
  • Un altro adempimento derivato dal GDPR da cui si può desumere una sorta di obbligatorietà deriva proprio dal concetto di privacy by design sancito dall’articolo 25 del GDPR, ed infatti in questo caso il regolamento dice che per ogni trattamento che dovrà essere posto in essere in futuro, dovranno essere valutati preventivamente le misure tecniche ed organizzative. Il trattamento che verrà effettuato, la tipologia di dati, i tempi di conservazione, il numero dei dati e anche le misure tecniche. È quindi desumibile che anche nel contesto della cosiddetta privacy by design la valutazione dei rischi è un passaggio essenziale.

 

  • Chi deve fare la valutazione del rischio?

La valutazione del rischio deve essere effettuata dal titolare del trattamento.  Nel caso dovessero esserci più titolari, insieme dovranno fare la valutazione del rischio.

 

La valutazione d’impatto

valutazione d'impatto, Labor Project

 

 

È sancita da un altro articolo del GDPR, l’articolo 35, e si tratta di un procedimento attraverso cui si mira a descrivere un trattamento valutandone la necessità e la proporzionalità ed eventualmente gestendone i rischi per la libertà e i diritti delle persone.

Una cosa è la valutazione dei rischi, un’altra la valutazione d’impatto. Mentre la prima infatti prende in considerazione la possibilità del verificarsi dei rischi sulla base dell’analisi delle misure tecniche, la seconda prende in considerazione i rischi derivanti dai trattamenti che vengono posti in essere. Infatti, lo scopo della valutazione d’impatto è quello di affrontare eventuali misure idonee a minimizzare o comunque eliminare gli eventuali rischi che potrebbero insorgere. La DPIA è lo strumento base per valutare la accountability del titolare del trattamento. Attraverso questo il titolare è in grado di dimostrare la compliance al GDPR, e adottare misure idonee per garantire il rispetto dei diritti e delle libertà fondamentali per gli interessati.

 

  • Cosa deve contenere?

I dati essenziali che deve contenere sono

  • Descrizione sistematica dei trattamenti previsti e delle finalità perseguite
  • Valutazione sulle necessità e sulle proporzionalità dei trattamenti
  • Individuazione dei rischi per i diritti e le libertà degli interessati
  • Misure previste per affrontare i rischi e le misure di sicurezza che sono state attuate
  • Quando è necessaria la valutazione d’impatto?

È necessaria in tutti quei casi in cui il trattamento dei dati personali presenta un rischio elevato, derivante anche dall’uso di nuove tecnologie, per i diritti e le libertà delle persone fisiche così come sancito dal GDPR. Quindi, proprio per ovviare ad una possibile indeterminatezza sui trattamenti su cui si svolge una DPIA, l’European Data Protection Board (ex WP 29) ha elencato una lista di criteri per cui è obbligatoria una DPIA e solo nel caso si presentino almeno due delle seguenti circostanze, diventa obbligatoria.

  • Quando c’è la profilazione
  • Qualora ci siano decisioni automatizzate che producono effetti giuridici
  • In caso di monitoraggio sistematico
  • Quando vengono trattati dati sensibili o giudiziari
  • Quando il trattamento dei dati è su larga scala
  • Nel caso ci siano due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dalle ragionevoli aspettative dell’interessato
  • Quando ci sono dati riferibili a soggetti vulnerabili come anziani e minori
  • Quando è previsto l’utilizzo di tecnologie innovative

Quando ci sono trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.

 

Metodo di attuazione

Il metodo si suddivide nelle seguenti quattro fasi:

  • Definizione dell’operazione di trattamento
  • Comprensione e valutazione dell’impatto del trattamento
  • Definizione della probabilità di accadimento delle minacce
  • Calcolo del rischio generale sul trattamento

Come per la valutazione dei rischi, anche la valutazione d’impatto deve essere elaborata prima che il trattamento sia iniziato. Essendo poi strettamente collegata alla privacy by design, in fase di progettazione occorre fare questi adempimenti per poi capire se si può fare o meno il trattamento.

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia