Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

DPIA

Gdpr, come costruire una valutazione di impatto a prova di ispezione

Il risultato finale di una valutazione di impatto non è l’eliminazione di ogni rischio possibile ma l’accettazione del rischio residuo. Vediamo quali sono le problematiche da affrontare, gli attori principali della DPIA, i contenuti da inserire e cosa fare una volta completata

11 Feb 2020
Nicola Manzi

Consulente Direzionale, Compliance, DPO


La valutazione di impatto (in inglese Data protection Impact Assessment, DPIA) non è il momento conclusivo di un processo di adeguamento al Gdpr, ma un’esigenza che parte fin dalla fase di progettazione di un nuovo trattamento e si accompagna ad esso in tutto il suo sviluppo.

Troppo spesso, però, nella pratica ci si trova ad intervenire su processi già iniziati ed a scontrarsi con Enti o aziende che non possono permettersi di interrompere i trattamenti ad alto rischio prima di aver realizzato una DPIA.

Le problematiche della DPIA, nella pratica

Ad aggravare la situazione, poi, dobbiamo considerare che questa procedura (forse la più complessa richiesta dalla nuova normativa sulla protezione dei dati) riserva delle problematiche così ampie che non possono venire risolte semplicemente affidandosi a pacchetti preconfezionati e all’assistenza dei tool informatici (gratuiti e/o a pagamento) disponibili in rete.

Nel corso della mia attività di Responsabile per la protezione dei dati, infatti, ho avuto modo di leggere numerose valutazioni d’impatto, tra quelle redatte da Titolari del trattamento (o più precisamente dai consulenti dei titolari) o reperite tra i documenti pubblicati in rete e non ho potuto far meno di giudicarle molto spesso “insufficienti”.

  • A volte perché pur riportando (praticamente in forma completa) il contenuto della norma e delle linee guida accompagnando tabelle chilometriche ed incomprensibili risultavano carenti degli elementi minimi richiesti dalla norma;
  • A volte perché incentrate esclusivamente su misure di sicurezza di natura informatica e schemi mutuati dagli annex di famiglia iso 27000 dimenticando che non tutti i trattamenti di dati ad alto rischio sono però necessariamente gestiti attraverso tecnologie informatiche);
  • Altre volte ancora perché non esattamente calate nel contesto di riferimento.

La verità è che una valutazione di impatto non è un abito buono per tutte le stagioni e per ogni livello di consapevolezza delle organizzazioni per cui, piuttosto che parlare per l’ennesima volta di cosa è una valutazione di impatto e come riconoscere quando occorre farla, preferisco dettagliare il lavoro che un Titolare del trattamento deve svolgere per costruire una valutazione di impatto a prova di ispezione e quali strumenti (informatici e non) possono costituire un valido ausilio nella sua redazione.

Lasciamo velocemente quindi i panni della teoria e caliamoci nel concreto.

Una volta, quindi, individuato il trattamento da sottoporre a valutazione di impatto, procediamo con l’individuare i soggetti chiamati attivamente alla redazione di una valutazione di impatto.

Gli attori principali della DPIA

La legge riconosce queste cinque figure come gli attori principali della DPIA:

Il titolare

Il titolare del trattamento è (ancora una volta) il soggetto richiamato alla responsabilità dal Regolamento. La sua partecipazione alla costruzione di una valutazione d’impatto è necessaria anche quando deciderà di affidare la redazione della stessa ad un consulente esterno o ad un capace dipendente. In fase di ispezione, infatti, pur se assistito dal proprio consulente, dovrà egli stesso dimostrare (e potrà farlo anche con l’aiuto di verbali interni, documenti, relazioni che possono essere allegate o meno alla valutazione di impatto) di aver tenuto conto di tutte le variabili e di aver preso coscientemente parte dei meccanismi decisionali e dei risultati della valutazione di impatto;

Il DPO

Il responsabile per la protezione dei Dati nel suo ruolo consultivo (art. 35 comma 2 del GDPR) e di sorveglianza del Regolamento (art 39 comma 1 lett. c) è richiamato dal Regolamento ad assistere il Titolare in questa procedura complessa. Non è un caso infatti che il software del CNIL, pone i rilievi e le considerazioni del Responsabile della protezione dei dati come presupposto “bloccante”.Bisogna, infatti, dimostrare di aver richiesto il parere del DPO prima di convalidare la procedura.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Nei fatti, però, il Titolare demanda la responsabilità della DPIA allo stesso Responsabile per la protezione dei dati in quanto unico soggetto (teoricamente) dotato del know how necessario alla sua redazione.

Devo ricordare che pur essendo opportuno il coinvolgimento di tale figura specialistica, in tutte le fasi della DPIA, demandarne l’intera gestione della procedura può comportare:

  • una valutazione negativa nell’accountability del titolare;
  • il decadimento della terzietà della figura del DPO.

Suggerisco, quindi di fare molta attenzione nell’affidare i giusti compiti e responsabilità ai soggetti individuati dalla norma se si vogliono evitare potenziali ammonimenti e/o sanzioni.

I Responsabili del trattamento

Anche qui si tratta di una scelta obbligata soprattutto se teniamo conto di quanti servizi vengono esternalizzati e di quante operazioni pur se interne all’azienda vengono di fatto gestite con l’ausilio di piattaforme o software gestionali costruiti e manutenuti in outsourcing. Il loro coinvolgimento in determinati casi deve accompagnare l’intero processo di redazione o soltanto la parte di propria competenza (immaginiamo ad esempio il coinvolgimento di un amministratore di sistema esterno all’organizzazione)

Gli interessati al trattamento o loro rappresentanti (opzionale)

Oltre a costituire un’efficace dimostrazione di accountability, in determinati casi avere una valutazione favorevole da parte degli interessati ai trattamenti sottoposti a DPIA (art 35 comma 9) può effettivamente contribuire ad abbattere significativamente il rischio degli impatti.

Di solito consiglio caldamente di acquisire un parere degli interessati ogni qual volta si rientra nelle dinamiche datore di lavoro-dipendenti (es. videosorveglianza interna o riconoscimento) e in quelle in cui i rapporti fra amministrazioni pubbliche e cittadini potrebbero ingenerare un forte dissenso nei casi di cattiva gestione.

L’Autorità Garante per la protezione dei dati personali (obbligatorio a determinate condizioni)

Una di quelle (rare) ipotesi in cui il Titolare ha l’obbligo di consultare l’autorità garante che deve rispondere in un tempo limitato e scandito dalla stessa normativa (art. 36 del GDPR). Trattasi, ovviamente, di una estrema ratio e come tale va utilizzata soltanto quando il rischio di impatto non può essere mitigato attraverso le misure di sicurezza attuate dal Titolare.

Il contenuto della DPIA

Una volta individuato il trattamento e stabiliti gli attori della valutazione di impatto, il passo successivo sarà quello di dargli un contenuto.

Il contenuto minimo di una DPIA è sancito normativamente dall’art 35 comma 7 del GDPR

La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Analizziamola punto per punto partendo dall’importanza dell’avverbio:

Chi mastica un po’ di diritto sa che il “diavolo è nei dettagli”!

L’analisi dell’organizzazione, del contesto del trattamento e dell’impatto

Per questioni di responsabilizzazione del titolare parto con il precisare che, pur in presenza del contenuto minimo, una DPIA può non essere conforme al Regolamento e far incorrere un’organizzazione a fronteggiare uno di quei poteri correttivi dell’Autorità Garante di cui all’art 58 comma 2 del GDPR.

Per comprendere meglio quando non ci si deve limitare al solo contenuto minimo richiesto dal Regolamento conviene partire quindi dall’analisi dell’organizzazione, del contesto del trattamento e (ovviamente) dalla ricognizione puntuale degli impatti potenziali.

Una società multinazionale, ad esempio, non può non tener conto dell’aspetto dimensionale, dell’aspetto organizzativo ma anche del contesto sociale del luogo (o dei luoghi) dove viene effettuato il trattamento. Anche una differenza nell’età media dei dipendenti di un’impresa può, infatti, contribuire ad elevare o diminuire i rischi ed il relativo impatto.

La consapevolezza della propria organizzazione stabilisce, quindi, in maniera preliminare il livello di dettaglio che la valutazione di impatto deve possedere.

La documentazione dei processi decisionali

In questa fase può essere utile predisporre dei verbali scritti documentando i processi decisionali che hanno spinto il Titolare ad effettuare delle scelte invece che altre.

  • Per dare seguito alle indicazioni inserite nel punto a dell’art. 35 comma 7 dobbiamo far riferimento (nel caso di trattamento già censito) al nostro registro delle attività di trattamento e coerentemente con lo stesso descrivere in maniera puntuale le attività, quali sono le finalità nonché il ciclo di vita dei dati. Nel caso, invece, di attività non ancora inserita nel registro va effettuato il processo inverso. Ricordo, infatti, che il Registro ex art 30 del GDPR riassume in maniera schematica il sistema tecnico ed organizzativo costruito dal titolare e deve quindi essere coerente con l’organizzazione effettiva. E’ essenziale, inoltre, ricostruire come “gira” il flusso di informazioni all’interno dell’azienda o dell’Ente ed essere in grado quindi di identificare quando le informazioni personali entrano a far parte del patrimonio dell’organizzazione, chi sono i soggetti interni ed esterni che concorrono al trattamento, quando le informazioni escono dalla nostra disponibilità, per quali motivi nonché il tempo di conservazione di quelle informazioni ecc. A tale scopo può essere molto utile aiutarsi con checklist predisposte ad hoc, schemi e diagrammi di flusso da allegare alla DPIA.
  • Finita questa fase passiamo alla non facile valutazione di necessità e proporzionalità del trattamento in relazione alle finalità. Si tratta in pratica di stabilire da un lato se il trattamento sia giustificato rispetto al proprio obiettivo e allo stesso modo se esistono, cioè, altri modi meno invasivi di raggiungere gli scopi del trattamento.

Questi due elementi devono essere valutati anche in relazione:

  • alle basi giuridiche del trattamento;
  • al modo in cui pensiamo di assicurare la qualità dei dati;
  • al modo in cui pensiamo di rispettare i principi di privacy by design, by default e di minimizzazione dei dati;
  • al modo in cui intendiamo fornire le informazioni agli interessati ed assicurare il riconoscimento dei loro diritti,
  • al modo in cui si intende garantire la conformità anche dei propri fornitori ecc.
  • Per rispondere a ciò che viene richiesto al punto “c” dobbiamo prendere in prestito il Considerando 75:

“I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.

Va fatto, cioè, uno sforzo di immaginazione tra un possibile “breach” e il relativo impatto che avrebbe sui diritti e le libertà delle persone avendo cura di considerare in maniera adeguata i suggerimenti previsti dal considerando.

Per ridurre la discrezionalità e rendere la valutazione il più possibile oggettiva si utilizzano modelli matematici (presi in prestito dalla iso 31000) e schemi a matrici che devono far parte (insieme al modo con il quale sono stati costruiti) del documento finale.

  • Una volta identificati i rischi in relazione ad ogni fonte, il passo successivo è quello di identificare quali misure e correttivi possano essere utilizzati per mitigarli.

In questa fase, accanto alle misure di sicurezza tecnologiche, informatiche e logistiche, si affiancano:

  • quelle per così dire “relazionali” – formazione, sensibilizzazione, modifica delle informative, contatto degli interessati, implementazione del customer caring ecc –
  • quelle per così dire di “fine tuning” – rinunciare alla raccolta di determinate categorie di dati personali (pensate agli interventi del garante sulla fatturazione elettronica e sull’utilizzo della tessera sanitaria), circoscrivere maggiormente le finalità del trattamento, ridurre il periodo di conservazione dei dati ecc. –

Cosa fare dopo la conclusione della DPIA

Il risultato finale di una valutazione di impatto non è l’eliminazione di ogni rischio possibile ma l’accettazione del rischio residuo. In quest’ottica e in relazione anche ai benefici che un’attività di trattamento può portare ad un’organizzazione, questa procedura potrebbe concludersi con l’accettazione di un valore di rischio che non può definirsi basso.

La nostra valutazione di impatto, a questo punto è pronta per essere sottoposta al vaglio e alle considerazioni del DPO (che possono anche essere disattese registrando le annotazioni e motivandone il rigetto), al riesame della direzione e all’approvazione finale (salvi i casi di coinvolgimento degli interessati e di quelli che richiedono l’intervento del Garante).

L’output di questa valutazione di impatto costituirà, infine, il punto iniziale di un processo di revisione volta al miglioramento continuo secondo il ciclo di Deming.

Una volta completata la DPIA ed accettato il rischio residuo il trattamento può finalmente entrare a far parte della nostra organizzazione.

A questo punto si può discrezionalmente decidere se pubblicarla e renderla accessibile a tutti o meno.

Cosa consiglio di fare?

Uno dei principi fondamentali sottesi al Regolamento europeo 679/2016 è quello di trasparenza.

Salvo i casi in cui la valutazione di impatto contenga segreti industriali o proprietà intellettuale da tutelare, costituirebbe una buona pratica (anche per dimostrazione di accountability) dare pubblicità formale dell’avvenuta conclusione e dei risultati della stessa.

Per gli stessi motivi nonché per agevolare gli interessati ad esercitare i propri diritti e per istituire una relazione di fiducia tra interessato e titolare consiglio di pensare al documento in relazione alla sua fruibilità limitando i tecnicismi allo stretto indispensabile in favore di descrizioni chiare ed efficaci che possono costituire un pregevole modello di informazione degli interessati.

Conformarsi al Regolamento (UE) 679/2016 non significa infatti produrre carta da mostrare a richiesta di un ispettore ma instaurare un legame di fiducia con i propri stakeholders.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4