Ti abbiamo già parlato della differenza tra PIA e DPIA. Le valutazioni dell’impatto sulla protezione dei dati possono essere utilizzate per identificare e mitigare eventuali rischi relativi alla protezione dei dati derivanti da un nuovo progetto, che potrebbero interessare l’organizzazione o le persone con cui interagisce. Di seguito ti illustriamo come e quando effettuare una DPIA.
Punti chiave
- Ai sensi del GDPR, le DPIA saranno obbligatorie per qualsiasi nuovo progetto di elaborazione dati ad “alto rischio”.
- Eseguire un processo DPIA ti consentirà di prendere decisioni informate sull’accettabilità dei rischi per la protezione dei dati e di comunicare efficacemente con le persone interessate.
- Non tutti i rischi possono essere eliminati, ma una DPIA può consentire di identificare e mitigare i rischi per la protezione dei dati, pianificare l’implementazione di eventuali soluzioni a tali rischi e valutare la fattibilità di un progetto in una fase iniziale.
- Se una DPIA non identifica misure di protezione contro rischi elevati residui, deve essere consultato il Garante per la protezione dei dati.
- Una buona tenuta dei registri durante il processo DPIA può consentire di dimostrare la conformità al GDPR e ridurre al minimo il rischio che un nuovo progetto crei difficoltà legali.
Che cos’è una valutazione d’impatto sulla protezione dei dati?
Quando la tua organizzazione raccoglie, archivia o utilizza dati personali, le persone di cui stai elaborando i dati sono esposte a rischi. Questi rischi potrebbero riguardare, ad esempio, il furto o l’esposizione involontaria di dati personali che potrebbero essere utilizzati da criminali per impersonare l’interessato a scopi fraudolenti. Una valutazione dell’impatto sulla protezione dei dati (DPIA) descrive un processo progettato per identificare i rischi derivanti dal trattamento dei dati personali e ridurre al minimo questi rischi, eliminarli o mitigarli. Le DPIA sono strumenti importanti per identificare e limitare i rischi e per dimostrare la conformità al GDPR.
Questo documento presuppone che una DPIA venga condotta per un progetto definito, ovvero specifici trattamenti, piuttosto che per le operazioni di un’organizzazione nel suo insieme. Una particolare funzione della tua organizzazione, o un programma di modifiche alle operazioni della tua organizzazione nel suo insieme, può essere visto come un progetto.
Quali sono i vantaggi di condurre una DPIA?
La conduzione di una DPIA migliorerà la consapevolezza nella tua organizzazione dei rischi per la protezione dei dati associati a un progetto. Ciò contribuirà a migliorare la progettazione del trattamento e a migliorare la comunicazione sui rischi per la privacy dei dati con le parti interessate. Alcuni dei vantaggi di condurre una DPIA sono i seguenti:
- Garantire e dimostrare che la tua organizzazione è conforme al GDPR (limitare e/o evita sanzioni).
- Ispirare fiducia nei tuoi stakeholder migliorando le comunicazioni in relazione alla protezione dei dati.
- Uno sforzo attivo nel garantire che i tuoi utenti non corrano il rischio che i loro diritti alla protezione dei dati vengano violati.
- Consentire alla tua organizzazione di attuare il principio di privacy by design ovvero “protezione dei dati fin dalla progettazione”.
- Ridurre i costi operativi ottimizzando i flussi di informazioni all’interno di un progetto ed eliminando la raccolta e l’elaborazione di dati non necessari.
- Ridurre i rischi relativi alla protezione dei dati per la tua organizzazione.
La protezione dei dati fin dalla progettazione significa incorporare le funzionalità di protezione dei dati e le tecnologie che migliorano la protezione dei dati direttamente nella progettazione iniziale di un trattamento. Ciò contribuirà a garantire una protezione migliore e più conveniente per la privacy dei dati individuali.
La protezione dei dati by default, ovvero per impostazione predefinita, significa che le impostazioni del servizio che si propone devono essere automaticamente compatibili con la norma che regola protezione dei dati personali.
Sebbene da tempo raccomandati come buona pratica, entrambi questi principi sono sanciti dalla legge ai sensi del GDPR (articolo 25).
Come faccio a sapere se deve essere condotta una DPIA?
Ai sensi del GDPR, una DPIA è obbligatoria laddove il trattamento dei dati “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”. Ciò è particolarmente rilevante quando viene introdotta una nuova tecnologia di elaborazione dei dati. Nei casi in cui non è chiaro se una DPIA sia strettamente obbligatoria, l’esecuzione di una DPIA è ancora una buona pratica e uno strumento utile per aiutare i responsabili del trattamento a rispettare la legge sulla protezione dei dati. Insomma, nel dubbio: meglio farla!
Le Autorità si sono preoccupate di stilare unelenco dei tipi di operazioni di trattamento dei dati che richiedono una valutazione dell’impatto sulla protezione dei dati.
Il GDPR fornisce alcuni esempi non esaustivi di quando il trattamento dei dati “potrebbe comportare rischi elevati”:
- “Una valutazione sistematica ed ampia degli aspetti personali relativi alle persone fisiche che si basa su un trattamento automatizzato, compresa la profilazione, e sulla quale si basano le decisioni che producono effetti giuridici nei confronti della persona fisica o che incidono in modo analogo significativamente sulla persona fisica”.
- “Trattamento su larga scala di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e reati di cui all’articolo 10.”
- “Un monitoraggio sistematico su larga scala.”
Nel valutare se il trattamento possa comportare un rischio elevato vanno considerati i seguenti criteri:
- Valutazione o punteggio, compresa la profilazione e la previsione, in particolare “dagli aspetti riguardanti le prestazioni lavorative dell’interessato, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti” (considerando 71 e 91). Esempi di ciò potrebbero includere una banca che seleziona i propri clienti rispetto a un database di riferimento del credito, o un’azienda di biotecnologia che offre test genetici direttamente ai consumatori al fine di valutare e prevedere i rischi di malattia/salute, o un’azienda che crea profili comportamentali o di marketing basati sull’uso o navigazione sul suo sito web.
- Processo decisionale automatizzato con effetti giuridici o analoghi significativi: trattamento volto a prendere decisioni sugli interessati che producono “effetti giuridici riguardanti la persona fisica” o che “influiscono in modo analogo significativamente sulla persona fisica” (articolo 35, paragrafo 3, lettera a)). Ad esempio, il trattamento può comportare l’esclusione o la discriminazione nei confronti delle persone fisiche. Il trattamento con effetti scarsi o nulli sugli individui non corrisponde a questo criterio specifico.
- Monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, compresi i dati raccolti attraverso “un monitoraggio sistematico di un’area accessibile al pubblico” (articolo 35 (3) (c)). Questo tipo di monitoraggio è un criterio perché i dati personali possono essere raccolti in circostanze in cui gli interessati potrebbero non essere a conoscenza di chi sta raccogliendo i loro dati e come verranno utilizzati. Inoltre, potrebbe essere impossibile per le persone evitare di essere soggette a tale trattamento in frequenti spazi pubblici (o accessibili al pubblico).
- Dati sensibili: comprendono categorie particolari di dati come definiti all’articolo 9 (ad esempio informazioni sulle opinioni politiche degli individui), nonché dati personali relativi a condanne penali o reati. Un esempio potrebbe essere un ospedale generale che conserva le cartelle cliniche dei pazienti o un investigatore privato che conserva i dettagli dei trasgressori. Questo criterio include anche dati che possono essere considerati più in generale come un aumento del possibile rischio per i diritti e le libertà delle persone, come dati di comunicazione elettronica, dati di localizzazione, dati finanziari (che potrebbero essere utilizzati per frode nei pagamenti). A questo proposito, il fatto che i dati siano già stati resi disponibili al pubblico può essere considerato un fattore di valutazione se si prevedeva che i dati sarebbero stati ulteriormente utilizzati per determinati scopi.
- Dati trattati su larga scala: il GDPR non definisce cosa costituisce grande scala, sebbene il considerando 91 fornisca alcune indicazioni. In ogni caso, il WP29 raccomanda che i seguenti fattori, in particolare, siano presi in considerazione nel determinare se il trattamento è effettuato su larga scala:
- Il numero di interessati, come numero specifico o come percentuale della popolazione interessata.
- Il volume di dati e/o la gamma di diversi elementi di dati in elaborazione.
- La durata, o permanenza, dell’attività di trattamento dei dati.
- L’estensione geografica dell’attività di trattamento.
- Insiemi di dati che sono stati abbinati o combinati, ad esempio provenienti da due o più operazioni di trattamento dei dati eseguite per scopi diversi e/o da responsabili del trattamento diversi in modo tale da superare le ragionevoli aspettative dell’interessato.
- Dati relativi a soggetti vulnerabili (considerando 75): il trattamento di questo tipo di dati può richiedere una DPIA a causa del maggiore squilibrio di potere tra l’interessato e il titolare del trattamento, il che può comportare l’impossibilità per l’interessato di prestare il consenso o di opporsi al trattamento dei suoi dati. Ad esempio, i dipendenti incontrerebbero spesso serie difficoltà per opporsi al trattamento effettuato dal loro datore di lavoro, quando è legato alla gestione delle risorse umane. Allo stesso modo, i minori non possono essere considerati non in grado di opporsi o acconsentire consapevolmente e deliberatamente al trattamento dei loro dati. Ciò riguarda anche le fasce più vulnerabili della popolazione che necessitano di una protezione speciale, come, ad esempio, i malati di mente, i richiedenti asilo, o gli anziani, un paziente,
- Uso innovativo o applicazione di soluzioni tecnologiche o organizzative, come combinare l’uso di impronte digitali e riconoscimento facciale per un migliore controllo dell’accesso fisico, ecc. Il GDPR chiarisce (articolo 35 (1) e considerando 89 e 91) che l’uso di una nuova tecnologia può innescare la necessità di effettuare una DPIA. Questo perché l’uso di una nuova tecnologia può comportare nuove forme di raccolta e utilizzo dei dati, possibilmente con un rischio elevato per i diritti e le libertà degli individui. In effetti, le conseguenze personali e sociali dell’impiego di una nuova tecnologia potrebbero essere sconosciute. Una DPIA aiuterà il titolare del trattamento a comprendere e trattare tali rischi. Ad esempio, alcune applicazioni “Internet of Things” potrebbero avere un impatto significativo sulla vita quotidiana e sulla privacy delle persone; e quindi richiedono una DPIA.
- Trasferimento di dati al di fuori dell’Unione Europea (considerando 116), tenendo in considerazione, tra l’altro, il paese o i paesi di destinazione previsti, la possibilità di ulteriori trasferimenti o la probabilità di trasferimenti basati su deroghe per situazioni specifiche previste dal GDPR.
- Quando il trattamento di per sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto” (art. 22 e considerando 91). Comprendono i trattamenti effettuati in un’area pubblica che le persone di passaggio non possono evitare oi trattamenti volti a consentire, modificare o riutilizzare l’accesso ad un servizio da parte degli interessati o la conclusione di un contratto. Un esempio di ciò è quando una banca controlla i propri clienti rispetto a un database di riferimento del credito per decidere se offrire loro un prestito.
Più criteri sono “soddisfatti” dal trattamento, più è probabile che ci sia un rischio elevato per i diritti e le libertà degli interessati e, pertanto, sia necessaria una DPIA. Se il Titolare del trattamento ritiene che un’operazione di trattamento che soddisfa almeno due di questi criteri non sia probabilmente ad alto rischio, dovrebbe documentare accuratamente i motivi per non effettuare una DPIA.
Quando non è necessaria una DPIA?
Una DPIA non è generalmente richiesta nei seguenti casi:
- Laddove il trattamento “non possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35, paragrafo 1).
- Quando la natura, l’ambito, il contesto e le finalità del trattamento sono molto simili al trattamento per il quale sono state effettuate le DPIA. In tali casi, possono essere utilizzati i risultati di una DPIA per un trattamento simile (articolo 35, paragrafo 1).
- Quando un’operazione di trattamento ha una base giuridica nel diritto dell’UE o di uno Stato membro e ha stabilito che non è necessario eseguire una DPIA iniziale, se la legge disciplina la specifica operazione di trattamento e se una DPIA, secondo gli standard del GDPR, è già stato effettuato nell’ambito della creazione di tale base giuridica (articolo 35, paragrafo 10).
- Quando il trattamento è incluso nell’elenco facoltativo (istituito dall’autorità di controllo) dei trattamenti per i quali non è richiesta la DPIA (articolo 35, paragrafo 5). Tale elenco può contenere attività di trattamento che rispettano le condizioni specificate da tale autorità, in particolare attraverso linee guida, decisioni o autorizzazioni specifiche o generali, norme di conformità, ecc. In tali casi, e previa rivalutazione da parte dell’autorità di controllo competente, una DPIA non è richiesto, ma solo se il trattamento rientra strettamente nell’ambito della relativa procedura indicata nell’elenco e continua a rispettare integralmente i relativi requisiti.
Aspetto spesso trascurata riguarda la revisione delle DPIA. L’EDPB raccomanda che tutte le DPIA siano riesaminate ogni 3 anni, o prima se le circostanze sono cambiate rapidamente.
Quando nel ciclo di vita di un progetto dovrebbe essere condotta una DPIA?
La DPIA dovrebbe essere effettuata “prima del trattamento” (Articoli 35(1) e 35(10) del GDPR, considerando 90 e 93). È generalmente buona pratica effettuare una DPIA non appena possibile nella progettazione delle attività di trattamento. Potrebbe non essere possibile condurre una DPIA all’inizio del progetto, poiché gli obiettivi del progetto e una certa comprensione di come funzionerà il progetto devono essere identificati prima che sia possibile valutare i rischi per la protezione dei dati coinvolti.
Per alcuni progetti la DPIA potrebbe dover essere un processo continuo ed essere aggiornata man mano che il progetto avanza. Il fatto che una DPIA possa dover essere aggiornata una volta che l’elaborazione è effettivamente iniziata non è un motivo valido per posticipare o non eseguire una DPIA.
Chi dovrebbe essere coinvolto nella conduzione della DPIA?
Spetta al Titolare del trattamento garantire lo svolgimento della DPIA. Può essere delegato a qualcun altro, all’interno o all’esterno dell’organizzazione, ma il Titolare del trattamento è, in ultima analisi, colui che ne risponde e ne è responsabile.
La DPIA dovrebbe essere guidata da persone con adeguate competenze e conoscenze del progetto in questione, normalmente il team di progetto. Se la tua organizzazione non possiede competenze ed esperienze interne sufficienti, o se un particolare progetto può contenere un livello di rischio molto elevato o interessare un numero molto elevato di persone, puoi prendere in considerazione l’assunzione di specialisti esterni per la consulenza o per la realizzazione la DPIA.
Un ampio processo di consultazione interna può avvantaggiare la DPIA, poiché alcuni rischi per la protezione dei dati saranno evidenti solo alle persone che lavorano su aspetti specifici del progetto. Ti consentirà inoltre di ottenere feedback da coloro il cui lavoro sarà interessato dal progetto dopo l’implementazione, come ingegneri, progettisti e sviluppatori, che avranno una conoscenza pratica delle operazioni.
Ai sensi del GDPR (articolo 35), se è stato nominato un DPO, questi venga coinvolto e gli venga chiesto un parere sulla DPIA che il Titolare avrà redatto. Il parere del DPO e le decisioni prese dovrebbero essere documentati come parte del processo DPIA. Se un responsabile del trattamento è coinvolto nel trattamento, il responsabile del trattamento dovrebbe assistere con la DPIA e fornire tutte le informazioni necessarie.
- Il Responsabile della Protezione dei Dati (RPD/DPO) è una persona designata nominata da un’organizzazione per fornire consulenza sulle pratiche di protezione dei dati all’interno dell’organizzazione. Il DPO può essere un membro del personale o un fornitore di servizi esterno. Ai sensi del GDPR, la nomina di un DPO è obbligatoria nelle seguenti circostanze:
- Per gli enti pubblici che effettuano il trattamento dei dati, ad eccezione dei tribunali che agiscono nella loro capacità giudiziaria
- Se le attività principali dell’organizzazione consistono in trattamenti di dati che, in virtù del loro ambito e/o delle finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; o
- Le attività principali dell’organizzazione consistono nel trattamento su larga scala di categorie speciali di dati come indicato nell’articolo 9 o di dati personali relativi a condanne penali come indicato nell’articolo 10 del GDPR.
Il titolare del trattamento è tenuto a “chiedere il parere degli interessati o dei loro rappresentanti” (articolo 35, paragrafo 9), “se del caso” nell’esecuzione della DPIA.
Quali sono le fasi della realizzazione di una DPIA?
Il GDPR stabilisce le caratteristiche minime di una DPIA (articolo 35, paragrafo 7, e considerando 84 e 90):
- “una descrizione delle operazioni di trattamento previste e delle finalità del trattamento”
- “una valutazione della necessità e della proporzionalità del trattamento”
- “come valutazione dei rischi per i diritti e le libertà degli interessati”
- “le misure previste per:
- “affrontare i rischi”;
- “dimostrare il rispetto del GDPR”.
Il GDPR presenta un quadro ampio e generico per la progettazione e la realizzazione di una DPIA. Ciò consente la scalabilità, quindi anche i più piccoli titolari del trattamento possono progettare e implementare una DPIA; nonché per la flessibilità, in modo che il titolare del trattamento possa determinare la struttura e la forma precise della DPIA, consentendone l’adattamento alle pratiche di lavoro esistenti.
Elementi chiave di una DPIA di successo
Il GDPR non prescrive l’esatto processo per eseguire una DPIA oltre alle caratteristiche minime sopra descritte, consentendo flessibilità e scalabilità in linea con le esigenze della tua organizzazione. Sebbene non ci sia un approccio prescritto da adottare, i seguenti passaggi possono guidarti attraverso il processo:
- Identificare se è necessaria una DPIA.
- Definire le caratteristiche del Trattamento per determinare i dettagli della valutazione dei rischi da realizzare.
- Identificazione dei dati da proteggere e i relativi rischi.
- Identificare soluzioni di protezione dei dati per ridurre o eliminare i rischi.
- Approvazione degli esiti della DPIA.
- Integrazione di soluzioni per la protezione dei dati nel progetto.
1. Identificare se è necessaria una DPIA
È possibile utilizzare i passaggi descritti nella sezione precedente “Come faccio a sapere se è necessaria una DPIA” per valutare se è necessario eseguire una DPIA. Ciò dovrebbe avvenire il prima possibile nel ciclo di vita del progetto. Dovrai anche identificare le risorse necessarie, le persone che saranno coinvolte e i tempi del processo DPIA.
L’Autorità Garante ha predisposto lo schema che trovate cliccando qui con l’obiettivo di aiutare i titolari a fare le necessarie valutazioni.
Poiché la natura e le implicazioni operative per la riservatezza dei dati di un progetto potrebbero non essere evidenti in una fase iniziale della pianificazione, la DPIA potrebbe dover essere un processo continuo e potrebbe essere necessario riesaminare o ripetere man mano che il progetto avanza.
2. Descrizione dei flussi informativi
In una fase iniziale della DPIA, dovresti identificare come si intende raccogliere, archiviare, utilizzare ed eliminare le informazioni personali come parte del progetto. Questo esercizio dovrebbe anche identificare quali tipi di informazioni saranno utilizzate come parte del progetto e chi avrà accesso alle informazioni.
Lo scopo di questo passaggio è quello di ottenere una prima comprensione di come le informazioni verranno utilizzate come parte di un trattamento in ogni fase del processo. Questo è fondamentale per essere in grado di riconoscere i rischi per la privacy dei dati che possono essere posti da un progetto e per identificare quali mezzi potrebbero essere utilizzati per mitigare tali rischi.
Dovresti inoltre considerare se il progetto genererà nuovi dati personali e includerli nella registrazione di questa fase. Ad esempio, un progetto che prevede l’elaborazione di test psicometrici potrebbe riguardare un certo tipo di informazioni personali (le risposte alle domande del test psicometrico) ed elaborarle fornendo come output un altro (un profilo psicometrico). Questo nuovo tipo di informazioni personali ha un carattere diverso, quindi registrarle separatamente nella mappa dei flussi di informazioni aiuterà a garantire che le sue caratteristiche speciali siano prese in considerazione successivamente nel processo di DPIA.
Questa parte della DPIA spesso rispecchia altri elementi del processo di progettazione del trattamento, come un esercizio generale di scoping per identificare come verrà realizzato il trattamento. Prestare attenzione nella progettazione di un trattamento di dati personali e a come le informazioni verranno utilizzate come parte del progetto può anche produrre vantaggi in termini di efficienza per la tua organizzazione, aiutandoti a semplificare i processi di gestione delle informazioni.
L’utilizzo di ausili visivi, come i diagrammi di flusso, per documentare come i dati verranno utilizzati può aiutare a identificare potenziali rischi per la privacy.
3. Identificazione dei dati da proteggere e dei relativi rischi
Questa fase prevede l’esame del trattamento che si intende effettuare per valutare quali problemi di protezione dei dati e per identificare eventuali rischi a cui potrebbero essere esposte le persone, nonché eventuali rischi relativi alla protezione dei dati che il trattamento potrebbe generare per la tua stessa organizzazione.
Esistono diversi modi in cui la privacy dei dati di un individuo può essere compromessa o messa a rischio. I rischi vanno dal “causare disagio” o “turbamento” a rischi di perdite finanziarie o danni fisici. Esistono altrettanti tipi di rischi relativi alla privacy dei dati per le organizzazioni, legati a problemi di conformità e fattori commerciali. Violazioni del GDPR, come un trattamento eccessivo dei dati o violazioni dei dati, possono portare a sanzioni significative, oltre a causare danni reputazionali alla tua organizzazione.
Per gli enti pubblici che contemplano misure di trattamento dei dati che limitano il diritto fondamentale dell’UE alla protezione dei dati ai sensi dell’articolo 8 della Carta dei diritti fondamentali dell’UE, deve essere intrapresa un’analisi dettagliata della “necessità” della misura. Le linee guida pubblicate dal Garante europeo della protezione dei dati aiuteranno i responsabili politici del settore pubblico a condurre le analisi necessarie.
Di seguito sono riportati esempi dei tipi di rischi per i quali è necessario prestare attenzione in questa fase del processo DPIA. Dovresti anche esaminare le linee guida specifiche del settore che possono essere fornite dalle autorità di regolamentazione o dai gruppi industriali nella tua area di attività, che possono evidenziare i tipi di rischio che potrebbero essere rilevanti per la tua organizzazione o specifico trattamento.
È necessario prendere nota dell’entità dei rischi individuati, tenendo conto sia della probabilità che un rischio si manifesti, sia del suo impatto. Nel valutare la gravità del rischio, è importante tenere presente la sensibilità dei dati personali da trattare, il numero di persone che potrebbero essere interessate da uno qualsiasi dei rischi individuati e il modo in cui potrebbero essere colpite.
Dovresti tenere un registro di tutti i rischi identificati in questa fase. Ciò aiuterà in seguito nel processo DPIA nella creazione di soluzioni per evitare o ridurre tali rischi. La tenuta dei registri può essere particolarmente importante in caso di indagine o audit. Una buona tenuta dei registri può aiutare a dimostrare come la tua organizzazione ha rispettato i suoi obblighi ai sensi del GDPR.
Questo esercizio di identificazione dovrebbe essere effettuato in una fase relativamente precoce della progettazione del progetto, poiché prima si possono identificare i rischi per la privacy dei dati, più facile ed economico sarà mitigarli. Tuttavia, come spiegato in precedenza, non si tratta di un esercizio una tantum; dovresti tenere sotto controllo la progettazione del trattamento durante tutto il processo DPIA per monitorare l’emergere di eventuali nuovi rischi, che possono verificarsi a causa di una modifica al trattamento o all’ambito del progetto, e per aiutare a valutare quali tecniche di riduzione del rischio funzionano.
Il punto è garantire che sia adottato un approccio metodologico per l’identificazione dei rischi e che siano conservate registrazioni di questo processo e di tutti i rischi identificati. La tua organizzazione potrebbe voler mantenere un registro dei rischi per la protezione dei dati per descrivere i rischi associati a un progetto e valutarne la probabilità e l’impatto. Potrai quindi consultare il registro in caso di eventuali modifiche al progetto, per prendere nota di eventuali misure adottate per mitigare il rischio, o eventuali rischi aggiuntivi che dovessero emergere. Questo può essere incorporato in un registro dei rischi esistente, se ne esiste uno per il progetto. I progetti su piccola scala possono adottare un approccio relativamente informale al rischio. In questi casi è ancora possibile utilizzare un registro dei rischi per la protezione dei dati, ma con le voci che riflettono l’approccio meno formale adottato.
Il registro dei rischi per la protezione dei dati dovrebbe essere aggiornato man mano che il progetto procede, per riportare eventuali soluzioni o nuovi rischi individuati.
Esempio di rischi per gli individui
- Divulgazione inappropriata di dati personali all’interno dell’organizzazione a causa della mancanza di controlli adeguati.
- La perdita accidentale di apparecchiature elettroniche da parte del personale dell’organizzazione può comportare il rischio di divulgazione di informazioni personali a terzi.
- Violazione dei dati da parte di “hacker”.
- Gli individui vulnerabili o gli individui dei quali vengono conservati dati sensibili potrebbero essere colpiti in misura molto elevata dalla divulgazione inappropriata di dati personali.
- Le informazioni rilasciate in forma anonima potrebbero comportare la divulgazione di dati personali se le tecniche di anonimizzazione scelte si rivelassero non efficaci.
- I dati personali trattati sono utilizzati in modo non previsto a causa di un’evoluzione nella natura del progetto.
- I dati personali vengono utilizzati per scopi non previsti.
- I dati personali utilizzati per prendere decisioni automatizzate possono essere considerati eccessivamente “invadenti”.
- L’integrazione e/o il merge di set di dati può far sì che un responsabile o titolare del trattamento disponga di molte più informazioni sugli individui rispetto a quanto previsto dagli individui.
- L’uso di tecnologie in grado di effettuare registrazioni video o audio invasive.
- I dati potrebbero essere conservati più a lungo di quanto richiesto in assenza di politiche adeguate.
- I dati non necessari per il progetto possono essere raccolti se non sono in atto politiche appropriate, portando a rischi inutili.
- I dati possono essere trasferiti a paesi con regimi di protezione dei dati inadeguati.
Rischi aziendali
- Il mancato rispetto del GDPR può comportare indagini, reclami, sanzioni amministrative, azioni penali o altre sanzioni. La mancata conduzione di una DPIA adeguata, ove appropriato, può costituire essa stessa una violazione del GDPR.
- È probabile che le violazioni dei dati o il mancato rispetto delle aspettative dei clienti in merito alla privacy e ai dati personali causino un rischio reputazionale.
- La sfiducia pubblica nei confronti dell’uso delle informazioni personali da parte della tua organizzazione può portare a una riluttanza da parte degli individui a trattare con la tua organizzazione.
- La mancata gestione del modo in cui l’azienda conserva e utilizza le informazioni può portare a una duplicazione inefficiente o alla costosa raccolta e memorizzazione di informazioni non necessarie. L’elaborazione e la conservazione non necessarie delle informazioni possono anche esporre al rischio di non conformità con il GDPR.
- Qualsiasi danno causato alle persone a causa di una cattiva gestione dei dati personali può portare a richieste di risarcimento contro la tua organizzazione. Ai sensi del GDPR potresti essere responsabile anche per danni non materiali.
Rischi di conformità
La tua organizzazione potrebbe affrontare rischi di azioni legali, sanzioni pecuniarie significative o danni alla reputazione se non rispetti il GDPR. Le persone colpite da una violazione del GDPR possono chiedere il risarcimento dei danni sia materiali che immateriali.
La mancata esecuzione di una DPIA, ove necessario, è di per sé una violazione della legislazione, nonché un’opportunità persa di identificare e mitigare i futuri rischi di conformità che un nuovo progetto potrebbe comportare.
4. Identificazione e valutazione delle soluzioni per la protezione dei dati
Questa fase segue l’identificazione dei rischi per la protezione dei dati nella fase 3, con l’obiettivo di ridurre al minimo il rischio di riservatezza dei dati associato al trattamento, per quanto possibile. Nella quasi totalità dei casi, non sarà possibile eliminare completamente i rischi per la protezione dei dati, ma l’obiettivo di questa fase è bilanciare tali rischi con gli obiettivi del progetto, per garantire che eventuali rischi accettati siano proporzionati ai risultati del trattamento. Tuttavia, ai sensi del GDPR, se permangono rischi elevati, sarà necessario consultare il Garante per la protezione dei dati, come descritto di seguito.
Le soluzioni per la protezione dei dati sono misure che possono essere adottate per ridurre la probabilità o la gravità dei rischi per la privacy dei dati che si realizzano.
Durante questa fase, dovresti cercare di identificare “soluzioni di protezione dei dati” per ridurre l’impatto del progetto sulla protezione dei dati. Dovresti farlo esaminando ciascuno dei rischi identificati come parte della fase precedente del processo DPIA e cercando di affrontarlo individualmente o come parte di una soluzione per la privacy che può affrontare insieme una serie di rischi.
In alcuni casi, le soluzioni per la protezione dei dati possono essere in grado di eliminare alcuni tipi di rischio, ad esempio abbandonando parti non necessarie del trattamento, creano rischi unici. In altri, le soluzioni per la protezione dei dati possono semplicemente mitigare il rischio o ridurre l’importanza delle violazioni dei dati, ad esempio adottando la pseudonimizzazione per ridurre il rischio di identificazione degli interessati. La natura di queste soluzioni dipenderà dai tipi di rischio individuati e dagli obiettivi del progetto. È necessario tenere un registro completo del processo, per documentare eventuali soluzioni di protezione dei dati che sono state identificate e quali rischi intendevano affrontare, nonché eventuali rischi che sono stati accettati. Questo può essere fatto in un registro dei rischi per la protezione dei dati creato al punto 3.
Questo passaggio prevede la conduzione di un esercizio di bilanciamento tra i vantaggi per gli individui e la tua organizzazione derivanti dalla protezione dei dati e i relativi rischi per tali individui e la tua organizzazione. Allo stesso modo, nel valutare se sia opportuno perseguire una particolare soluzione di protezione dei dati, è necessario soppesare i costi ei benefici di ciascuna soluzione. Ad esempio, l’anonimizzazione dei dati può aiutare a ridurre il rischio se i dati relativi a una persona identificabile vengano divulgati accidentalmente a terzi, ma è probabile che l’organizzazione costi denaro per mettere in atto un sistema di anonimizzazione e potrebbe limitare alcune delle obiettivi del progetto (se tali obiettivi dipendono dall’elaborazione di informazioni su individui identificati).
Ogni progetto avrà le sue circostanze uniche e il suo profilo di rischio, quindi non esiste una cosiddetta “taglia unica” di soluzioni da adottare per la protezione dei dati. Tuttavia, i seguenti sono esempi di soluzioni per la protezione dei dati, alcune delle quali possono essere applicate in una serie di scenari diversi:
- Decidere di non raccogliere o archiviare particolari tipi di informazioni.
- Mettere in atto periodi di conservazione rigorosi, progettati per ridurre al minimo la durata della conservazione dei dati personali.
- Rivedere la sicurezza fisica e/o IT nella tua organizzazione o per un particolare team di progetto e apportare miglioramenti appropriati ove necessario
- Condurre una formazione generale o specifica per il progetto per garantire che i dati personali siano gestiti in modo sicuro.
- Creare protocolli per la gestione delle informazioni all’interno del progetto e garantire che tutto il personale interessato sia formato per operare secondo il protocollo.
- Valutare la necessità di nuovi sistemi IT per elaborare e archiviare in sicurezza i dati e fornire al personale formazione su qualsiasi nuovo sistema adottato.
- Valutare l’utilizzo di dati anonimi o pseudonimizzati come parte del progetto per ridurre i rischi di identificazione.
- Garantire che le persone siano informate su come verranno utilizzate le loro informazioni.
- Fornire un punto di contatto per gli interessati.
- Se stai utilizzando processori di dati esterni, selezionando processori di dati adeguatamente esperti e mettendo in atto disposizioni legali per garantire la conformità con la legislazione sulla protezione dei dati.
- Decidere di non procedere con un particolare elemento di un trattamento se i rischi per la privacy dei dati ad esso associati sono inevitabili e i benefici attesi da questa parte del progetto non possono giustificare tali rischi.
Nella maggior parte dei casi, esistono alcuni rischi per la protezione dei dati che non possono essere eliminati o ridotti. Questi rischi possono essere accettati se sono proporzionati ai risultati che si otterranno proseguendo il progetto nonostante il rischio. Qualsiasi decisione di accettare rischi per la protezione dei dati dovrebbe essere registrata nel registro dei rischi per la protezione dei dati.
In questa fase, dovresti anche assicurarti che il trattamento sia conforme alle leggi sulla protezione dei dati. In particolare, dovresti considerare se il progetto è conforme ai principi di protezione dei dati e assicurarti di avere una buona base giuridica per il trattamento dei dati personali.
5. Firma e registrazione degli esiti DPIA
L’obiettivo principale di condurre una DPIA è identificare e ridurre al minimo i rischi per la protezione dei dati coinvolti in un trattamento di dati personali. Tuttavia, come è stato sottolineato in precedenza, tenere un registro di tutti i passaggi effettuati nell’ambito della DPIA aiuterà a garantire che il processo sia completato in modo completo e a rassicurare le parti interessate che tutti i rischi per la protezione dei dati sono stati presi in considerazione. Questa registrazione scritta dovrebbe anche costituire la base per l’attuazione delle soluzioni di protezione dei dati che sono state identificate e può essere utilizzata per verificare l’attuazione di ciascuna soluzione.
È buona prassi redigere un report finale della DPIA. Questo rapporto dovrebbe riunire, in forma sintetica, la registrazione di ogni fase del processo DPIA e annotare le conclusioni di ogni fase del processo. Dovrebbe anche includere una panoramica del trattamento, spiegando perché è stato intrapreso e il processo adottato nello svolgimento della DPIA per definire i rischi e le soluzioni per la protezione dei dati che sono stati identificati come parte del processo. La tua organizzazione può decidere di pubblicare una parte del report della DPIA o una sua sintesi per il pubblico. La decisione se pubblicare o meno il rapporto avrà probabilmente un impatto su quante informazioni dettagliate vengono inserite nel report.
Una DPIA non richiede necessariamente un processo formale di approvazione, ma ciò potrebbe essere necessario se vengono raccomandate modifiche significative alla natura di un trattamento o se viene previsto di accettare rischi con impatti rilevanti.
Se i rischi per la privacy non sono in grado di essere mitigati in modo coerente con gli obiettivi di un progetto e non sarebbe proporzionato accettarli, questa fase dovrebbe essere utilizzata per rivalutare la fattibilità del trattamento che si intende avviare. In tali circostanze, un’organizzazione può decidere di modificare gli obiettivi di un progetto per consentire la mitigazione dei rischi per la protezione dei dati o abbandonare del tutto l’idea di trattamento iniziale.
6. Integrare i risultati della DPIA nel piano del progetto
Una volta sottoscritta la DPIA, è necessario mettere in atto quanto stabilito integrando le modifiche necessarie nei piani del progetto e quindi al trattamento.
Come parte dell’implementazione della DPIA dovresti valutare se le soluzioni per la protezione dei dati implementate stanno avendo l’effetto previsto di mitigare i rischi identificati. Inoltre, se il progetto mira a cambiare o espandersi nel corso della sua vita, potrebbe essere necessario valutare se sia necessaria un’ulteriore DPIA per valutare l’effetto delle modifiche sui rischi identificati per la protezione dei dati. Tale revisione può essere integrata nelle procedure esistenti della tua organizzazione.
Consultazione con il Garante per la protezione dei dati e pubblicazione della DPIA
Il Garante per la protezione dei dati deve essere consultato al termine della DPIA?
Se, durante il processo di DPIA, il Titolare ha individuato e adottato misure per mitigare eventuali rischi per i dati personali, non è necessario consultare il Garante prima di procedere con il progetto.
Se la DPIA suggerisce che i rischi identificati non possono essere gestiti e il rischio residuo rimane elevato, è necessario consultare il Garante per la protezione dei dati prima di procedere con il progetto.
Indipendentemente dal fatto che sia richiesta o meno la consultazione con il Garante, i tuoi obblighi di conservare un registro della DPIA e di aggiornarla a tempo debito rimangono.
Anche se la consultazione non è richiesta, la DPIA può essere riesaminata dal Garante in un secondo momento in caso di audit o indagine derivanti dai trattamenti che effettui.
La DPIA deve essere pubblicata?
Non è legalmente obbligatorio pubblicare la DPIA. Tuttavia, ci sono una serie di vantaggi nel farlo. La pubblicazione della DPIA può aiutare a promuovere la fiducia nel trattamento dei dati personali e dimostrare responsabilità e trasparenza, in particolare quando sono interessate le P.A..
Non è necessario che la DPIA pubblicata contenga l’intera valutazione, soprattutto quando la DPIA potrebbe presentare informazioni relative a rischi per la sicurezza o informazioni commercialmente sensibili. Potrebbe anche consistere solo in una sintesi dei principali risultati della DPIA.