CITTADINI & UTENTI

Come condurre la valutazione d’impatto sulla protezione dei dati (DPIA)

L’ Art. 35 del Regolamento UE/2016/679 (GDPR) impone obblighi ma offre opportunità

La DPIA è una procedura, prevista dall’articolo 35 del Regolamento, che mira a descrivere uno o più  trattamenti di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. 

Prevenire è meglio che curare, si sa. Quando avviene il data breach la frittata è già fatta, l’ideale sarebbe non farla. Riprendendo i concetti espressi già autorevolmente su queste colonne, il regolamento 2016/679 GDPR obbliga i titolari a svolgere una valutazione d’impatto prima di dare inizio a un trattamento che possa comportare un rischio elevato per i diritti e le libertà delle persone interessate. 

L’obbligo esprime la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti,  rispetto ai quali sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del Regolamento, ma anche a palesare il modo in cui la garantiscono. La valutazione d’impatto costituisce una buona prassi al di là degli obblighi di legge, poiché in essa il titolare può ricavare indicazioni utili a prevenire incidenti futuri. In questo senso, la valutazione permette di inverare concretamente l´altro fondamentale principio fissato nel GDPR: la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.

E’ obbligatoria in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito. L’elenco pubblicato dal Garante Privacy indica chiaramente quanto deve e non deve assoggettarsi al dettato del Regolamento, che notoriamente sovrascrive le preesistenti normative nazionali.

In sintesi, di seguito il tool sviluppato da ENISA per lo svolgimento della DPIA.

Innanzitutto, l’interessato al trattamento deve potere esercitare i propri diritti preliminari a:

  • Informativa
  • Consenso
  • Accesso
  • Portabilità
  • Cancellazione
  • Limitazione
  • Opposizione

STEP 1 COMPLIANCE CON I PRINCIPI FONDAMENTALI (adeguatezza / motivo inadeguatezza / azioni miglioramento)

Controlli di necessità e proporzionalità – Il principio di necessità, in generale, insieme a quello di proporzionalità, è parte integrante della struttura del Regolamento: le informazioni relative alle persone fisiche non possono essere raccolte ed utilizzate indiscriminatamente. Ciò significa che i dati devono essere limitati a quelli strettamente necessari rispetto allo scopo per cui gli stessi sono raccolti che deve, inoltre, essere stato precisamente comunicato prima della raccolta agli interessati

Controlli di protezione dei diritti degli interessati

Questa fase è particolarmente importante perché chiama l’azienda o ente a censire tutti i trattamenti soggetti a GDPR, che non coincidono quasi mai meramente con una funzione o mansione ma si snodano lungo un processo che va censito, analizzato ed esaurientemente descritto. Nel singolo processo può esserci magari una sola componente di rilevanza ma essa rende l’intero insieme rilevante.

STEP 2 VALUTAZIONE MINACCE E PROBABILITA’ DI ACCADIMENTO (processo per processo)

Qui si è chiamati a fare (e validare con il DPO) un censimento di possibili minacce cui il processo può andare soggetto e a stilare un guessing di probabilità di accadimento. Realismo ma sostanziale onestà intellettuale devono qui bilanciarsi e prescindere dall’opportunismo di compliance formale al Regolamento.

STEP 3 VALUTAZIONE IMPATTO – EVENTI TEMUTI, SORGENTI DI RISCHIO, MINACCE E IMPATTO

Qui l’accento si pone sulle conseguenze dell’avverarsi della minaccia. 

Processo 

Eventi temuti

  • Accesso illegittimo ai dati personali (RISERVATEZZA)
  • Modifica non voluta ai dati personali (INTEGRITA’)
  • Scomparsa di dati personali (DISPONIBILITA’)

Sorgente di rischio (Umano/Non Umano; Interno/Esterno; Volontario/Involontario)

Minacce

Potenziale impatto delle minacce

Valutazione Gravità Minaccia (Trascurabile, Limitata,  Significativa,  Elevata)

STEP 4 VALUTAZIONE COMPLESSIVA DEL RISCHIO sulla base dello Step 3

Si sintetizza in un punteggio, correlato a un giudizio sintetico, quanto emerso dagli step precedenti.

STEP 5 MISURE DI SICUREZZA – Rif.to ISO 27001: 2013 (ENISA)

Categorizzazione

  • Ruoli e responsabilità per la sicurezza delle informazioni
  • Controllo accessi
  • Gestione asset
  • Gestione delle modifiche
  • Separazione ambienti
  • Sicurezza delle informazioni nelle relazioni con i fornitori
  • Sicurezza dei dati  gestione degli incidenti
  • Sicurezza dei dati: aspetti della gestione della continuità operativa
  • Sicurezza delle risorse umane
  • Consapevolezza, educazione e formazione alla sicurezza delle informazioni
  • Access control. Politica di controllo degli accessi
  • Logon sicuro e password
  • Controllo degli accessi ai sistemi e agli applicativi
  • Registrazione e monitoraggio
  • Sicurezza delle operazioni
  • Requisiti di sicurezza dei sistemi  informativi
  • Sicurezza delle comunicazioni 
  • Back-Up
  • Dispositivi mobili e telelavoro
  • Gestione della vulnerabilità tecnica, sicurezza nei processi di sviluppo e supporto
  • Smaltimento dei supporti, smaltimento sicuro o riutilizzo delle apparecchiature 
  • Sicurezza fisica e ambientale

Descrizione misure

Tempi / Owner

Va da sé che questo step è il cuore della valutazione. La sua completezza e il piano di azioni adeguative (stilato realisticamente e definito in tempistiche e responsabilità) sono fondamentali, anche per l’assegnazione di un budget. Come tutto, anche la privacy ha un costo.

STEP 6 RISCHI RESIDUI – PIANO DI AZIONE  

I rischi residui, o meglio generalizzati perché del tutto trasversali ai processi, sono non di rado i più critici, proprio perché finiscono per interessare una quantità di funzioni e di attività mansionali.

La responsabilità della DPIA spetta al titolare, anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione. Il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati (DPO) e acquisendo, se i trattamenti lo richiedono, il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, CISO) e del responsabile ICT.

Appare evidente l’utilità della DPIA quale esercizio aziendale a se stante, a prescindere dall’obbligo, e quindi rileva la sua natura sostanziale e non cosmetica. La collegialità (sicurezza aziendale, ICT, management dipartimentale, process owners, alta direzione) è indispensabile, così come il beneficio in termine di abbattimento del rischio è notevole:

  • Costi operativi
  • Impatti legali
  • Costi di ripristino
  • Danno d’immagine
  • Uscita da taluni mercati di cui si siano infrante le garanzie di sicurezza
  • Esclusione da gare e da committenze attente alla privacy

e altro ancora.

Back to top button