Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Metodologia valutazione del rischio in ambito privacy

Ai sensi dell’articolo 35 del nuovo Regolamento UE (“GDPR”), applicabile dal prossimo 25 maggio, “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.

Tale valutazione d’impatto (DPIA) è richiesta in casi particolari, quali ad esempio:

  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • il trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Si ricorda che in presenza di un Responsabile della Protezione dei Dati (RPD/DPO), il Titolare del trattamento deve coinvolgere e consultare questa funzione per svolgere la valutazione d’impatto. Inoltre, è compito dell’Autorità di controllo redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali è necessaria tale valutazione.

La valutazione d’impatto dovrà contenere almeno:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi, ovvero le garanzie e le misure di sicurezza per garantire la protezione dei dati personali.

A questo punto sorge spontanea la domanda: “Che cosa si intende per rischio elevato?”

Possiamo rispondere affermando, con le parole utilizzate nel parere del Gruppo di Lavoro Articolo 29, che con il termine rischio si intende “uno scenario descrittivo di un evento e delle relative conseguenze, stimate in termini di gravità e probabilità” per i diritti e le libertà.

Occorre precisare, in primo luogo, che il rischio non si riferisce al Titolare del trattamento, bensì ai soggetti interessati, cioè le persone fisiche delle quali vengono trattati i dati personali; in secondo luogo che non bisogna confondere la gestione dei rischi, cioè l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi”, con il tema delle misure di sicurezza.

È necessario quindi valutare non solo la sicurezza del trattamento, con riferimento alla disponibilità, all’integrità e alla riservatezza del dato, ma anche i suoi effetti complessivi, quali ad esempio i danni per la reputazione, discriminazione, furto d’identità, perdite finanziarie o altri svantaggi economico-sociali, perdita di controllo dei dati, impossibilità di esercitare diritti.

Consideriamo, infine, quali sono le misure per la gestione del rischio, ricordando che è compito del Titolare del trattamento prevedere quelle adeguate secondo il principio di “accountability”.

  • Misure organizzative (ad esempio ruoli, governance, formazione, procedure, audit, strumenti a disposizione degli interessati, contatti);
  • Misure tecnologiche (ad esempio policy di sicurezza logiche e fisiche, aggiornamenti dei servizi e software test, controllo degli accessi e tracciamento delle operazioni);
  • Minimizzazione (lett. c articolo 5 GDPR);
  • Anonimizzazione (rendere un dato non riconducibile a una persona fisica identificata o identificabile);
  • Cifratura;
  • Conservazione adeguata (con riferimento sia ai supporti sia al periodo temporale);
  • Qualità dei dati.