Valutazione d'impatto sulla protezione dei dati - DPIA: come eseguire l'adempimento

Il Regolamento UE 2016/679 (GDPR) prevede l'obbligo per il titolare del trattamento di tenere in considerazione i rischi che i trattamenti di dati possono comportare per i diritti e le libertà delle persone fisiche.

In particolare, quest'onere discende da due norme: 

• l’art. 24, che colloca l'analisi dei rischi insieme alle altre caratteristiche del trattamento dei dati (natura, ambito di applicazione, contesto e finalità) di cui il titolare del trattamento deve tenere conto per mettere in atto le misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è conforme al regolamento stesso;
• l’art. 35, che prevede, invece, una specifica procedura di valutazione di impatto (DPIA) che serve a descrivere un trattamento di dati per valutarne la necessità, la proporzionalità e i relativi rischi. Si deve effettuare quando un tipo di trattamento, specie se prevede l'uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il suo scopo è stabilire misure idonee ad affrontare e minimizzare questi rischi elevati. 

Quindi la valutazione di impatto è un adempimento obbligatorio che concretizza il principio di accontability, in quanto consente al titolare di dimostrare che un determinato trattamento è stato preventivamente valutato e risulta conforme agli obblighi previsti dal GDPR.

Per aiutarti negli adempimenti abbiamo preparato un Software:  DPIA Easy - Valutazione impatto sulla protezione dati sviluppato per supportare i Data Protection Officer (DPO), consulenti privacy, avvocati e enti pubblici nel gestire efficacemente i compiti di conformità al GDPR.

Attenzione però “obbligatorio” non significa “formale” o meramente “burocratico” perché la DPIA, se condotta correttamente è un efficace strumento di gestione del rischio: valutando prima l’impatto del trattamento, poi il livello di rischio di un trattamento dei dati, il titolare del trattamento potrà adottare adeguate misure di sicurezza per mitigarlo.

Di seguito ulteriori dettagli.

1) DPIA: requisiti minimi

In conformità ai principi di privacy by design e by default di cui all’art. 25 del Reg. UE 2016/679 nel momento in cui, il titolare del trattamento introduce un nuovo trattamento di dati personali nell’ambito della propria organizzazione deve garantire che lo stesso avvenga nel rispetto alle norme sulla protezione dei dati, prevedendo, sin dalla progettazione, le adeguate misure tecniche o organizzative.

L'ottica è quella del “risk based approach” che non prevede un elenco di adempimenti precisi da effettuare ma l'analisi dell'organizzazione, in seguito alla conduzione della quale, sarà possibile procedere alla predisposizione di misure tecniche e organizzative “tailor made” che dovranno essere giustificate sulla base della preventiva analisi dei rischi.

Nel caso in cui il titolare decidesse di non svolgere l'attività di valutazione, deve essere in grado di comprovare e documentare le ragioni che lo hanno spinto a prendere questa decisione, altrimenti espone l'organizzazione all'irrogazione di sanzioni, anche pesanti. 

Prima di procedere a un'attività di trattamento che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, quindi, occorre svolgere la valutazione di impatto in quanto solo attraverso questa il titolare del trattamento può valutare e dimostrare la conformità delle attività di trattamento alle norme in materia di protezione dei dati personali e può approntare le contromisure necessarie per la minimizzazione del rischio.

L’art. 35 (7) GDPR, permette di individuare i requisiti minimi necessari che la valutazione di impatto deve contenere:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento. La norma allude al registro delle attività di trattamento di cui all'art. 30 del GDPR che permette al titolare del trattamento di avere uno sguardo generale su tutte le attività di trattamento svolte dall'organizzazione.
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità. Il titolare del trattamento, quindi deve chiarire, fin dalla fase di progettazione e fino alla conclusione del ciclo di vita dei dati, il perché i trattamenti che intende svolgere siano necessari al raggiungimento delle finalità prefissate, riducendo al minimo indispensabile la quantità di dati trattati. Questa previsione concretizza i principi di privacy by default e by design.
c) una valutazione dei rischi per i diritti e le libertà degli interessati;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. 

Si potrebbero ipotizzare i seguenti punti per redigere una DPIA.

2) DPIA primo step: descrizione del trattamento previsto

In questa prima fase deve essere definito il contesto in cui la valutazione deve essere condotta. 

Deve essere descritta la tipologia di dati personali trattati, come si sviluppa il trattamento, definendo i tempi di conservazione dei dati e quali sono gli strumenti utilizzati per effettuare il trattamento.

In questa fase il titolare deve stabilire, in sostanza, se, in base al trattamento da svolgere e alle sue caratteristiche, ricorra o meno la necessità stessa di effettuare una valutazione di impatto. In questa fase occorre altresì rappresentare gli scopi del trattamento (sono determinati, espliciti e legittimi?) e se i dati raccolti siano adeguati, pertinenti, e limitati a quanto necessario in relazione alle finalità perseguite.

Dall'altro occorre chiarire come gli interessati siano informati del trattamento dei loro dati e come possano esercitare i propri diritti. 

Devono altresì essere stabiliti gli obblighi dei responsabili del trattamento.

3) DPIA secondo step: criteri di impatto

Questa fase prevede che vengano analizzati i possibili impatti che il trattamento potrebbe avere sui diritti e le libertà fondamentali degli interessati, in termini di scoring, monitoraggio regolare e sistematico, caratteristiche dell’interessato, identificabilità dell’interessato, soluzioni tecnologiche innovative, trasferimenti extra UE, trattamenti su larga scala, decisioni automatizzate, categorie particolari di dati e soggetti fragili.  

4) DPIA terzo step: la valutazione dei rischi

In questa fase si analizzano i rischi correlati al trattamento, che possono essere inerenti alla preparazione degli utenti, alle infrastrutture informatiche previste ed esistenti per il trattamento e ad ogni altro elemento utile per il trattamento in oggetto. 

Dopo aver valutato l'impatto dei rischi e la probabilità di accadimento delle minacce, si potrà valutare globalmente il rischio e, se questo dovesse essere classificato come alto o molto alto, sarà necessario applicare misure tecnico-organizzative adeguate a minimizzare la gravità del rischio e la probabilità di accadimento delle minacce.

5) DPIA quarto e quinto step: gestire gli impatti e i rischi

In queste fasi successive, ogni criterio di impatto e di rischio che è stato preso in considerazione nella fase di analisi dovrà trovare una sua misura di correzione e/o mitigazione. Occorre descrivere quali siano le misure previste dal titolare per affrontare i rischi elevati connessi al trattamento ed è necessario che le misure previste vadano a minimizzare il rischio (azzerarlo è impossibile) fino a portarlo ad essere considerato accettabile. 

Nel caso il rischio, nonostante le misure adottate, resti elevato, il titolare del trattamento potrà 

• valutare la possibilità di una consultazione preventiva con l'Autorità Garante (ex art. 36 GDPR), trasmettendogli una copia della DPIA;
• riprogettare o interrompere il trattamento, consultandosi con il proprio DPO. Tra i compiti del data protection officer c'è proprio quello di fornire un parere circa la valutazione di impatto e di monitorarne lo svolgimento. 
• eventualmente, raccogliere, ai sensi dell'art. 53 (9) GDPR, le opinioni degli interessati e dei loro rappresentanti sul trattamento previsto. Questa valutazione deve tenere conto della natura, del contesto e delle finalità che il titolare del trattamento persegue ma soprattutto dell'impatto che ne può derivare agli interessati.

Una volta eseguita la valutazione di impatto occorre ricordare che le risultanze di questa e tutta la relativa documentazione, non va chiusa in un cassetto: non è una procedura che si attua una tantum ma va periodicamente aggiornata e rivista, in particolare nei casi in cui il rischio preso in considerazione in termini di probabilità o gravità, si modifichi.

Ricordiamo che non condurre la DPIA nei casi in cui risulta obbligatorio farlo (quindi in caso di rischio elevato insito nel trattamento) o non svolgere la valutazione in base alle indicazioni contenute nell'art. 35 GDPR o non consultare preventivamente l'autorità garante in caso di rischio elevato persistente possono esporre l'organizzazione, in quanto violazioni al principio di responsabilizzazione, a sanzioni amministrative pecuniarie in alcuni casi anche molto elevate. 

Per aiutarti negli adempimenti abbiamo preparato un Software:  DPIA Easy - Valutazione impatto sulla protezione dati sviluppato per supportare i Data Protection Officer (DPO), consulenti privacy, avvocati e enti pubblici nel gestire efficacemente i compiti di conformità al GDPR.

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy