DPIA: Guida Completa alla Valutazione d’Impatto sulla Protezione dei Dati GDPR – Parte V

In questo ultimo articolo della serie Guida pratica alla Valutazione d’Impatto sulla Protezione dei Dati (DPIA), esploreremo in dettaglio una metodologia articolata in 7 fasi per valutare i rischi legati alla protezione dei dati personali e garantire la conformità al GDPR. Questa metodologia non solo offre un quadro chiaro per identificare e gestire i rischi, ma include anche strumenti pratici per la documentazione del processo, come modelli per l’analisi dei rischi, le misure di mitigazione e le procedure di consultazione con gli interessati, e delle appendici per l’applicazione pratica.

Segue dalla quarta parte.

4.5 FASE 5: identificazione delle misure di mitigazione del rischio per dimostrare la conformità

Nella FASE 5 è necessario da parte del Titolare, sulla base dei risultati ottenuti nella valutazione del rischio effettuata nella fase precedente, decidere se e come introdurre nuove misure di mitigazione del rischio.

Se dai risultati della valutazione emerge che non esistono scenari a “rischio elevato” allora questa FASE 5 può essere saltata completamente a meno che il Titolare non voglia comunque svolgere azione di mitigazione dei rischi di natura media o bassa analizzati.

Se, invece, tra i risultati esistono scenari a “rischio elevato”, allora è necessaria una integrazione delle misure di riduzione del rischio, riavviando per gli scenari individuati una ulteriore fase di analisi.

Gli elementi, tra i molteplici, che potrebbe essere utile tenere in considerazione sono i seguenti:

• decidere di non raccogliere determinati tipi di dati;
• ridurre l’ambito di applicazione;
• ridurre i periodi di conservazione;
• introdurre ulteriori misure di sicurezza tecnologica/fisica/organizzativa;
• formare in modo efficace il personale per garantire che i rischi siano anticipati e gestiti;
• dati anonimizzati o pseudonimizzati, ove possibile/necessario;
• scrivere delle procedure interne più puntuali per ridurre i rischi;
• aggiungere una valutazione con intelligenza umana per rivedere le decisioni automatizzate e legate all’intelligenza artificiale;
• utilizzare una tecnologia diversa da quella adottata fino ad ora;
• migliorare gli accordi di condivisione dei dati;
• apportare modifiche alle informative sulla privacy;
• offrire alle persone la possibilità di rinunciare al trattamento ove opportuno;
• introdurre nuovi sistemi per facilitare alle persone l’esercitare dei loro diritti.

Si sottolinea come questo elenco non sia esaustivo e come possano essere individuate ulteriori misure/azioni utili a contribuire alla riduzione del rischio. In ogni caso, per questo genere di attività è importante chiedere sempre un contributo al DPO che può fornire utili consigli sulle azioni da intraprendere.

Anche l’analisi svolta in questa FASE 5 va comunque descritta formalmente attraverso una scheda sintetica, proposta in Appendice F, che specifichi come la misura/misure individuate ridurrebbero il rischio e analizzi anche i costi/benefici di ogni misura ulteriore introdotta, al fine di poter svolgere una scelta consapevole sull’impatto per le risorse necessarie all’implementazione.

4.6 FASE 6: redazione e presa in carico della documentazione di valutazione

Tutto il materiale che è stato prodotto attraverso le schede di analisi, dalla FASE 0 fino alla FASE 5 (vedi Appendici di questo documento da A a F) del metodo costituisce la documentazione della DPIA, documentazione che va conservata a cura del Titolare del trattamento per le attività di revisione periodica previste dalla norma e per le eventuali visite ispettive del Garante nazionale.

Nella FASE 6 della DPIA si deve compilare una ulteriore scheda (Appendice G) che riassume la presa in carico dei risultati di valutazione e le diverse osservazioni dei principali attori. In questa scheda si anticipa anche il nominativo di chi, all’interno dell’organizzazione del Titolare, sarà incaricato delle attività periodiche di revisione della DPIA.

4.7 FASE 7: monitoraggio e riesame periodico della DPIA ai fini del mantenimento nel tempo della protezione dei dati

Il Titolare identifica un incaricato all’interno della sua organizzazione che svolge e pone all’attenzione del Titolare stesso tutte le azioni di revisione/integrazione della DPIA al fine di mantenere la validità e l’aggiornamento del tempo della valutazione condotta e dei suoi risultati. Le attività di mantenimento vengono svolte conformemente al ciclo descritto in fig.2.1 di questo documento, tenendo in conto di tutte le fasi e le indicazioni qui fornite. Tutte le decisioni relative a modifiche/integrazioni della DPIA debbono essere autorizzate e prese in carico dal Titolare che resta il responsabile del trattamento dei dati analizzato nella valutazione.

5. Appendice A – FASE 0: il questionario di screening

ATTENZIONE: per le declaratorie delle caratteristiche del trattamento sintetizzate nelle sezioni del Questionario, si consiglia di far riferimento – prima di rispondere – alla versione integrale discussa nel par.2.8 della Guida per la DPIA.

Codice ID trattamento _____________________ Nome Trattamento _______________________

Dip. ________________________ Ufficio _______________ Servizio _________________________

Note _______________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

Sezione A – DOMANDE GENERALI (Art.35 punto 3 del Regolamento GDPR)

ll trattamento considerato presenta queste caratteristiche*?

ID	Caratteristica	Sì	No
G1	Valutazione sistematica automatizzata dei dati (anche con profilazione) con effetti significativi sulle persone
G2	Uso su larga scala di dati delle categorie particolari
G3	Sorveglianza sistematica pubblica su larga scala

Sezione B – DOMANDE SPECIFICHE tratte dalla letteratura nazionale e internazionale

ll trattamento considerato presenta queste caratteristiche*?

ID	Caratteristica	Sì	No
S1	Trattamenti valutativi o di scoring su larga scala o trattamenti che comportano la profilazione degli interessati relativi ad aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti
S2	Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato
S3	Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati
S4	Trattamenti su larga scala di dati aventi carattere estremamente personale
S5	Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici
S6	Trattamenti non occasionali di dati relativi a soggetti vulnerabili
S7	Trattamenti effettuati attraverso l’uso di tecnologie innovative
S8	Trattamenti che comportano lo scambio tra diversi Titolari di dati su larga scala con modalità telematiche
S9	Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni
S10	Trattamenti sistematici di dati biometrici (per identificare univocamente persone) o genetici
S11	Trattamenti di categorie particolari di dati (diversi da S10)
S12	Trattamenti che possono comportare un impedimento di esercizio di un diritto o di un servizio e/o contratto
S13	Trattamenti che possono comportare rischio di danni fisici

* Per un aiuto alla comprensione dettagliata delle caratteristiche del trattamento riferirsi ai Cap.2 e 3 della Guida per la DPIA.

Luogo e data della compilazione ______________________________

Firma dei Compilatori Firma del Titolare

________________

________________ _________________

________________

6. Appendice B – FASE 1: descrizione del trattamento

Codice ID trattamento _____________________ Nome Trattamento _______________________

Descrivere sinteticamente la finalità del trattamento – Quali sono le finalità del trattamento? Quali sono gli eventuali interessi legittimi e le basi legali connesse al trattamento? Che vantaggio/benefici traggono gli individui coinvolti nel trattamento? Quali benefici induce il trattamento sull’organizzazione? Quali benefici induce il trattamento sulla società?

Descrivere sinteticamente la natura del trattamento – Come sono raccolti i dati? Come vengono gestiti? Come vengono conservati? Come vengono usati i dati? Chi ha accesso ai dati? Con chi vengono, eventualmente, condivisi i dati? Qual è il periodo di conservazione dal dato? Come si chiude il ciclo di vita del dato a termine del periodo di conservazione? Si prevede l’intervento della figura del Responsabile del trattamento? Quali sono le misure di sicurezza organizzativa/procedurale messe in atto? Quali sono le misure di sicurezza tecniche messe in atto? Si utilizzano nuove tecnologie per il trattamento? Si utilizzano nuovi metodi di trattamento del dato? Quali criteri di screening sono stati adottati nell’analisi preliminare (FASE 0)?

Descrivere sinteticamente l’ambito di applicazione del trattamento – Che tipo di dati personali vengono raccolti nel trattamento? Si trattano anche dati appartenenti dalla Categorie Particolari (Art.9)? Quali? A quanto ammonta il numero delle persone gestite nel trattamento? Il trattamento è allargato anche a bambini e categorie vulnerabili? Qual è la frequenza di trattamento del dato? Quanto dura un processo ordinario di accesso al dato? Quale area geografica è coperta? Dove sono conservati fisicamente i dati?

Descrivere sinteticamente il contesto del trattamento – Qual è la relazione tra il Titolare e le persone soggette al trattamento? Quali sono le responsabilità connesse al trattamento? Qual è il grado di controllo che le persone possono esercitare suoi propri dati personali? Ci sono esperienze pregresse di questo stesso tipo di trattamento? Il trattamento fa riferimento a codici di condotta approvati e/o è soggetto a certificazione di terza parte? Che uso della tecnologia si fa nel trattamento? Quanti e quali risorse tecnologiche vengono impiegate? Quante sono le risorse umane impiegate nel trattamento? Che caratteristiche professionali hanno tali risorse umane?

7. Appendice C – FASE 2: Consultazione degli interessati

Codice ID trattamento _____________________ Nome Trattamento _______________________

Descrivere le consultazioni – Come si sono o si intendono consultare gli interessati o i loro rappresentanti? Su cosa sarà basata la consultazione? Se si decide di non consultare, quali sono le ragioni a giustificazione di tale scelta? E’ stato coinnvolto il DPO nell’analisi? Sono state coinvolte altre figure professionali specifiche nella valutazione? Se sì quali e che contributo hanno fornito?

8. Appendice D – FASE 3: Valutare necessità, proporzionalità e misure di garanzia per la conformità

Codice ID trattamento _____________________ Nome Trattamento _______________________

Descrivere gli aspetti di necessità, proporzionalità e le misure di garanzia adottate – Gli scopi del trattamento sono specifici, espliciti e legittimi? Quali sono le basi legali che rendono lecito il trattamento? I dati raccolti sono adeguati, pertinenti e limitati a quanto necessario in relazione alla finalità per cui sono trattati (minimizzazione dei dati)? I dati sono esatti e aggiornati? Il periodo di conservazione del dato è verificato con periodicità e sono applicate le procedure previste per il ‘fine vita’ del dato? Come sono informati del trattamento gli interessati? Come si ottiene il consenso degli interessati, quando necessario? Come fanno gli interessati ad esercitare i loro diritti di accesso e di portabilità dei dati? Come fanno gli interessati ad esercitare i loro diritti di rettifica e cancellazione (diritto all’oblio)? Come fanno gli interessati ad esercitare i loro diritti di limitazione e opposizione? Gli obblighi di eventuali Responsabili del trattamento sono disciplinati con chiarezza da un contratto? In caso di trasferimento di dati fuori dall’UE, i dati stessi godono di una protezione equivalente?

9. Appendice E – FASE 4: identificazione e valutazione del rischio

Codice ID trattamento _____________________ Nome Trattamento _______________________

PRIMA AZIONE

Identificare i danni specifici potenziali connessi al trattamento

danno per la reputazione discriminazione furto d’identità e frodi perdite finanziarie danni fisici danni psicologici perdita del controllo dei dati personali perdita di riservatezza di dati personali protetti da segreto professionale decifratura non autorizzata della pseudonimizzazione impossibilità di esercitare diritti impossibilità di accedere a servizi e opportunità rivelazione non autorizzata dell’origine razziale o etnica rivelazione non autorizzata delle opinioni politiche rivelazione non autorizzata delle convinzioni religiose o filosofiche rivelazione non autorizzata dell’appartenenza sindacale rivelazione non autorizzata di dati relativi alla salute rivelazione non autorizzata di dati relativi alla vita sessuale rivelazione non autorizzata di condanne penali, reati e relative misure di sicurezza rivelazione non autorizzata di dati relativi al rendimento professionale rivelazione non autorizzata di dati relativi alla situazione economica rivelazione non autorizzata di dati relativi all’affidabilità e al comportamento rivelazione non autorizzata di dati relativi all’ubicazione e agli spostamenti rivelazione non autorizzata di dati relativi a persone fisiche vulnerabili altri svantaggi economici e sociali qui non elencati

SECONDA AZIONE – Parte 1 di 4

Sistema utilizzato per l’archiviazione

Archivio cartaceo Cartella condivisa centralizzata Cartella condivisa locale Cartella personale Database centralizzato Altro (specificare) ______________________________________________

SECONDA AZIONE – Parte 2 di 4

Misure procedurali/organizzative di sicurezza adottate

Accesso controllato aree fisiche Accesso fisico ai dati (es. armadi chiusi) Accesso digitale ai dati (es. autenticazione e autorizzazione) Formazione Istruzioni per il trattamento Nomina per iscritto personale Nomina Amministratore di sistema Nomina per iscritto responsabili esterni Policy aziendali (specificare) Policy aziendali utilizzo posta elettronica (specificare) Procedura Data Breach Procedura gestione dati (variazione, cancellazione) Procedure (Altre procedure, specificare) Altro (specificare) ______________________________________________

SECONDA AZIONE – Parte 3 di 4

Misure tecniche di sicurezza adottate – Misure Digitali

Antivirus/AntiSpam Autenticazione Autorizzazione Business continuity Data Inventory & Classification Disaster recovery DLP (Data Loss Prevention) FIM (File Integrity Monitorig/Controllo integrità) Firewall/WAF (Web Application Firewall) Intrusion Detection/Intrusion Prevention Monitoraggio/Log Management Log Amministratori di sistema Separazione (VLAN, Virtual Local Area Network) Trattamento Dati -> Anonimizzazione Trattamento Dati -> Cifratura dei dati Trattamento Dati -> Pseudonimizzazione Trattamento Dati -> Tokenizzazione Back Up periodici Altro (specificare) ______________________________________________

SECONDA AZIONE – Parte 4 di 4

Misure tecniche di sicurezza adottate – Misure Fisiche

Armadi/cassettiere chiusi a chiave Autorizzazione di accesso – Badge – Sistema Biometrico Guardiania/Presidio fisico locali Sistemi di rilevamento accessi (es: sensori di accesso) Sistemi di registrazione (es: telecamere) Altro (specificare) ______________________________________________

TERZA AZIONE – Valutazione del rischio Scheda n.___________

(NB Questa è una scheda multipla) Come prima azione selezionare uno Scenario e un Sistema di archiviazione (tra quelli indicati in precedenza) da analizzare nella scheda. L’analisi va svolta su tutti gli scenari indicati, compilando una scheda completa per ogni combinazione Scenario/Sistema di archiviazione precedentemente indicato.

Ad esempio:

– se il Sistema di archiviazione indicato è uno soltanto, le schede da compilare sono quattro;

– se i Sistemi di archiviazione indicati sono due, le schede complessive da compilare sono otto; e così via.

SCENARI MINIMI Scenario A) accesso illegittimo Scenario B) divulgazione non autorizzata Scenario C) modifica non autorizzata Scenario D) perdita dei dati

SISTEMA DI ARCHIVIAZIONE Archivio cartaceo Cartella condivisa centralizzata Cartella condivisa locale Cartella personale Database centralizzato Altro (specificare) __________________

1) Quali possibili minacce, per lo scenario e il sistema di archiviazione considerati, possono consentire il concretizzarsi del rischio?

 

2) Quali dei danni già indicati in precedenza si possono in questo scenario concretizzare per gli interessati, tenendo conto del sistema di archiviazione analizzato?

 

3) Quali sono le misure di mitigazione che, per lo scenario e per il sistema di archiviazione considerati, risultano già applicate? (tra le misure indicate nella SECONDA AZIONE selezionare quelle che risultano utili alla riduzione del rischio in questo scenario)

 

4) Quali sono gli eventuali nuovi elementi di vulnerabilità/debolezza del processo di trattamento che si individuano, per lo scenario considerato, a questo stadio dell’analisi?

 

5) Su una scala a tre valori (Alto, Medio, Basso) a che valore si pone la Probabilità che questo scenario si presenti nella realtà?

Probabilità dell’evento nello scenario considerato: œ Alto (5) œ Medio (3) œ Basso (1)

 

6) Su una scala a tre valori (Alto, Medio, Basso) a che valore si pone la Gravità del danno che sarebbe prodotto dal realizzarsi di questo scenario nella realtà?

Gravità del danno generato nello scenario considerato: œ Alto (5) œ Medio (3) œ Basso (1)

 

7) Quantificazione Rischio: Rischio= Probabilità x Gravità del danno (punti 6 e 7 precedenti)

Rischio œ Alto (Elevato) (da 15 a 25) œ Medio (da 7 a 14) œ Basso (da 1 a 6)

 

10. Appendice F – FASE 5: misure di mitigazione del rischio

Codice ID trattamento _____________________ Nome Trattamento _______________________

Dip. ________________________ Ufficio _______________ Servizio _________________________

Note _______________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________________________

MISURA INTEGRATIVA n. __

Tipo di rischio
Descrizione della azione/misura per la riduzione/eliminazione del rischio
Effetto della misura sul rischio esistente (ridotto, eliminato, accettato)
Rischio residuo (Alto, Medio, Basso)
Analisi costi benefici
Approvazione (sì/no)

MISURA INTEGRATIVA n. __

Tipo di rischio
Descrizione della azione/misura per la riduzione/eliminazione del rischio
Effetto della misura sul rischio esistente (ridotto, eliminato, accettato)
Rischio residuo (Alto, Medio, Basso)
Analisi costi benefici
Approvazione (sì/no)

 

11. Appendice G – FASE 6: completamento documentazione e presa di responsabilità

Codice ID trattamento _____________________ Nome Trattamento _______________________

Dip. ________________________ Ufficio _______________ Servizio _________________________

Note _______________________________________________________________________________

____________________________________________________________________________________

____________________________________________________________________

 

Presa di Responsabilità al termine della valutazione

Sezione del DPO
Indicazioni del DPO sulla DPIA svolta
Nome Cognome DPO
Luogo e data
Firma DPO

 

Sezione del Titolare
Indicazioni del DPO accettate o non accettate?
Eventuali osservazioni del Titolare sulle indicazioni espresse dal DPO sulla valutazione svolta
Nominativo dell’incaricato delle attività di revisione periodica della DPIA
Eventuali note ulteriori
Nome Cognome del Titolare
Luogo e data
Firma del Titolare

Acronimi e glossario

CNIL = Commission Nationale de l’Informatique et des Libertés = Garante francese

Data Controller = Titolare del trattamento

Data Processor = Responsabile del trattamento

DPIA = Data Protection Impact Assessment (valutazione d’impatto sulla protezione dei dati)

DPO = Data Protection Officer = RPD

EDPB = European Data Perotection Board = Comitato Europeo per la Protezione dei Dati

Garante nazionale = Garante Privacy italiano = Autorità di Controllo nazionale

ICO = Information Commissioner’s Officer = Garante del Regno Unito

IoT = Internet of Things

Regolamento = Regolamento UE 679/16, GDPR

RPD = Responsabile della Protezione dei Dati = DPO

Titolare del trattamento = Data Controller

WP29 = UE-Article 29 Data Protection Working Party

Riferimenti

[Bil1] Bilan M. Ayyub, “Risk Analysis in Engineering and Economics”, University of Maryland, Chapman & Hall/CRC, New York 2003, pp.35-38

[Car1] M. Carbonelli, “Terrorist attacks and natural/anthropic disasters: risk analysis methodologies for supporting security decision-making actors”, International CBRNe Book Series, Aracne editrice, 2019, pp.66-70, pp. 110-123

[Gar1] Garante per la protezione dei dati, Valutazione d’impatto sulla protezione dei dati, https://www.garanteprivacy.it/regolamentoue/DPIA

[Gar2] Garante per la protezione dei dati, Allegato 1 al provvedimento n. 467 dell’11 ottobre 2018 [doc. web n. 9058979] ‘Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto’

[ICO1] Information Commissioner’s Office -UK, ‘GDPR DPIA guidance’, aprile 2018

[UE1] UE-Article 29 Data Protection Working Party, ‘Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679’, WP248 rev.1, 4 ottobre 2017

[UE2] EDPB, Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR), 25 settembre 2018

[UE3] https://edpb.europa.eu/search/site/dpia_en

[UE4] UE-Article 29 Data Protection Working Party, ‘Linee guida per i responsabili della protezione dei dati’, WP 243 rev. 01, aprile 2017

[GDP1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 “Regolamento generale sulla protezione dei dati”

[T4D1] T4Data, “The DPO Handbook: Guidance for data protection officers in the public and quasi‐public sectors on how to ensure compliance with the European Union General Data Protection Regulation”, Elaborated for the EU‐funded “T4DATA” programme (Grant Agreement number: 769100 — T4DATA — REC‐DATA‐2016/REC‐DATA‐2016‐01), luglio 2019

[CNI1] Homepage:https://www.cnil.fr/en/home, DPIA: https://www.cnil.fr/en/privacy-impact-assessment-pia

 

Articolo a cura di Marco Carbonelli