Una breve panoramica della metodologia DPIA
Questo articolo si concentra su un nuovo strumento che potrebbe essere definito come qualcosa a metà tra un audit e la gestione del progetto. Nell’articolo 35, il Regolamento Generale sulla Protezione dei Dati prevede uno strumento analitico specifico, simile ad uno strumento già definito. Questo è noto ai valutatori come gestione delle informazioni e della sicurezza del rischio. Si noti che questo articolo non esaminerà la metodologia di valutazione dell’impatto del GDPR in modo approfondito, fase per fase. Piuttosto, darà una panoramica di tutte le fasi di tale valutazione. Altri articoli in questa serie spiegheranno i dettagli di ogni fase.
La natura di una Valutazione d’Impatto sulla Protezione dei Dati
Se hai letto l’articolo su Il ruolo del Responsabile della Protezione dei Dati, potresti aver notato che il ruolo del Responsabile della Protezione dei Dati è piuttosto orizzontale, mescolato a competenze legali, di valutazione, tecniche e di comunicazione. La Valutazione d’Impatto sulla Protezione dei Dati è in realtà l’incarnazione di un tale mix. Inoltre, poiché la Valutazione d’Impatto sulla Protezione dei Dati include sia i controllori1) di dati che i processori2) di dati nella sua procedura, possiamo anche presumere che la Valutazione d’Impatto sulla Protezione dei Dati sia lo strumento perfetto per garantire la responsabilità e l’imputabilità di un’impresa.
Vi è un obbligo giuridico di effettuare una valutazione se c’è la probabilità che il trattamento provochi un rischio elevato per l’interessato (Art. 35 GDPR). Considerata la posta in gioco in un’impresa e l’evoluzione dei sistemi IT, un approccio alla gestione dei rischi consente all’organizzazione di determinare i controlli necessari. Consente di studiare l’elaborazione, di assegnare priorità ai rischi e di trattarli in maniera proporzionale al fine di ottimizzare i costi e prendere le relative decisioni. Infine, una Valutazione d’Impatto sulla Protezione dei Dati aiuta un’azienda a dimostrare l’implementazione dei principi della privacy. Di conseguenza, possiamo giustamente ammettere che una Valutazione d’Impatto sulla Protezione dei Dati è uno strumento di conformità; e deve essere utilizzato prima dell’implementazione del trattamento (analisi ex ante).
Una breve panoramica sulla sua metodologia
Una Valutazione d’Impatto sulla Protezione dei Dati normalmente consiste in diverse fasi. Ognuna di queste fasi analizza una specifica funzionalità del trattamento dei dati rispetto a una serie di controlli e verifiche. Se ti sei mai chiesto cosa fanno un pilota e un co-pilota prima di decollare, in realtà essi seguono una checklist per verificare i loro strumenti a fronte di una serie regolamentata e riesaminata di controlli. Una Valutazione d’Impatto sulla Protezione dei Dati è simile a questa, ma, a differenza della checklist di un aeroplano, ha una certa flessibilità.
Una Valutazione d’Impatto sulla Protezione dei Dati è adattabile alla profondità della valutazione che si desidera condurre, il che significa che non esiste un periodo di tempo indicato per ogni elemento di valutazione. In altre parole, se il gruppo di valutazione desidera trascorrere del tempo per elaborare controlli o per cercare e studiare le minacce al trattamento, dovresti lasciarli fare, in quanto i rimedi saranno il risultato previsto di questa analisi. In termini di metodologia, l’articolo 35.7 del Regolamento prevede gli elementi minimi da valutare, che sono descritti di seguito in 5 fasi:
- La fase 1 è in sostanza un dettagliato del trattamento dei dati, inclusi: i dati che utilizza, i suoi controllori e le informazioni relative ai processori, la sua base giuridica o i periodi di conservazione applicati ai dati. Essa possiede analogie con il vecchio formato della notifica, requisito della direttiva 95/46 CE, che scomparirà dopo il 25 maggio 2018.
- La fase 2 identifica i controlli legali e di trattamento del rischio attualmente implementati. Questa fase coinvolge le misure attuali ed esistenti da un punto di vista giuridico, tecnico, fisico e organizzativo. L’obiettivo è controllare eventuali rischi che potrebbero essere identificati prima dell’implementazione dell’elaborazione dei dati. Se, ad esempio, la tua azienda non ha esaminato la sua politica relativa all’accesso ai propri locali (ad esempio: rilascio di tesserini, registri di accesso, ecc.), è probabile che tu lo debba fare prima di allargare tale politica a un’area di nuova costruzione / acquisizione dei locali o di un nuovo sistema.
- La fase 3 elenca le fonti di rischio nel trattamento dei dati. Essa solleva la seguente domanda: “La mia impresa avrà dei problemi per questo nuovo trattamento dei dati e, in caso affermativo, dove e quando ci saranno questi problemi?” Questa fase si concentra su possibili intrusioni di privacy (ad esempio danni causati da dati imprecisi o violazioni della sicurezza); valutazione dei rischi aziendali, danni alla reputazione o costi finanziari. Richiede immaginazione, in particolare per cercare una buona quantità di fonti di rischio per la tua attività. Se gestisci un’impresa bancaria, una delle tue fonti di rischio è che il database possa essere aggredito e acceduto fraudolentemente. Si tratta di un rischio per la sicurezza in sé, ma porta anche un rischio finanziario per i tuoi titoli generando un rischio per la tua reputazione agli occhi dei tuoi clienti.
- La fase 4 riguarda l’analisi e l’elenco dei potenziali eventi negativi e delle minacce al trattamento dei dati. La sua differenza dalla Fase 3 è che la fase 4 si concentrerà sui dati personali dei soggetti interessati e sui potenziali impatti del nuovo trattamento su tali dati. Sia che gli eventi siano interni o esterni, umani o non umani (tecnici), questa fase è rilevante per quanto riguarda gli sviluppi tecnologici. Le nuove tecnologie potrebbero non avere una chiara introduzione di garanzie relative alla privacy e quindi esporre i soggetti di dati a minacce quali hacking, phishing e spamming. Il suo scopo è quello di determinare a quale tipo di minacce potrebbe essere esposto il tuo trattamento. Supponiamo che tu sia il direttore di un grande ospedale. I registri sanitari dei pazienti sono molto sensibili. Una minaccia umana potrebbe essere che queste registrazioni siano accessibili ai membri sbagliati del personale per il motivo sbagliato e una minaccia non umana sarebbe che il sistema operativo utilizzato dal tuo ospedale è quello che ha funzionato per dieci anni senza aggiornamenti. Nel primo caso, si può temere un accesso non autorizzato e fraudolento, mentre nel secondo, si può temere un cyber-attacco sul sistema operativo. In definitiva, la riservatezza medica dei tuoi pazienti sarà minacciata se non poni rimedio alla minaccia.
- Infine, la fase 5 è nel modulo di un rapporto e riepiloga l’analisi, i controlli attuali, i rischi per la tua attività e le minacce ai dati personali. Il rapporto definisce le opzioni dell’organizzazione per affrontare ogni rischio, minaccia e difetto individuati. Indica se ciascuna opzione comporta l’eliminazione del rischio, la sua mitigazione o che il rischio sia accettato così com’è. Il rapporto verrà registrato, conservato e presentato ai principali responsabili della propria organizzazione. Questi dirigenti potranno così decidere se le azioni sono state prese o devono essere prese, e seguire tali azioni. Qui possiamo notare che tali rapporti contribuiscono alla tua conformità al principio di responsabilità del GDPR.
Valore aggiunto di una Valutazione d’Impatto sulla Protezione dei Dati
Una Valutazione d’Impatto sulla Protezione dei Dati rappresenta un valore aggiunto alla tua attività. Può sembrare un compito molto lungo e che richiede molto tempo. Tuttavia, mentre una Valutazione d’Impatto sulla Protezione dei Dati “dà il via libera” alla tua conformità a uno specifico trattamento dei dati, fornirà anche una pre-analisi del tuo trattamento da parte del personale interno coinvolto nella Valutazione d’Impatto sulla Protezione dei Dati, dimostrando allo stesso tempo buona fede alle autorità nazionali e ai clienti.
Tale valutazione fornisce una potente opportunità per riesaminare i documenti, preparare l’implementazione del progetto, costruire o adattare le tue politiche, aggiornare gli aspetti tecnici e rafforzare i controlli. In breve, la Valutazione d’Impatto sulla Protezione dei Dati incoraggia il tuo personale a scambiare e accrescere la consapevolezza sulla protezione dei dati personali all’interno della tua azienda.
Dimostrare la tua conformità all’autorità di protezione dei dati è ciò che devi tenere a mente. Questa autorità verrà a conoscere le tue valutazioni, dal momento che devi tenere un registro. In caso di un audit all’interno dei locali della tua azienda, sarai in grado di dimostrare buona fede mostrando tali registrazioni. Inoltre, riguardo ai tuoi clienti, rassicura gli interessati che proteggerai i loro dati e la tua reputazione.
Clicca qui per scaricare il tuo Diagramma del processo di implementazione del GDPR dell’UE gratuito per sapere in che modo la Valutazione d’Impatto sulla Protezione dei Dati si inserisce in tutto il processo.
1) Si utilizza qui e di seguito il termine non ufficiale “Controllore” al posto del termine uffficiale “Titolare del trattamento” come riportato nel testo dell’UE perché più intuitivo
2) Si utilizza qui e di seguito il termine non ufficiale “Processore” al posto del termine uffficiale “Responsabile del trattamento” come riportato nel testo dell’UE perché più intuitivo