Il trattamento di dati personali è un’attività pericolosa che comporta rischi per i diritti e le libertà fondamentali delle persone fisiche. Per questo motivo le imprese e le pubbliche amministrazioni che, quali titolari, hanno la responsabilità generale dei trattamenti, sono chiamate a valutare continuamente tutti i rischi inerenti[1] e ad attuare adeguate misure per mitigarli.
Inoltre, quando un tipo di trattamento può presentare un rischio elevato, prima di avviare l’attività, le stesse imprese e PA hanno l’obbligo di eseguire, come richiede il GDPR, una valutazione di impatto sulla protezione dei dati, la c.d. DPIA (Data Protection Impact Assessment).
Non si tratta di un orpello formale ma di un vero e proprio processo aziendale finalizzato a gestire i rischi per i diritti e le libertà delle persone fisiche, attraverso l’identificazione, l’analisi, la ponderazione, il trattamento (e.g. l’attenuazione) ed il riesame dei rischi stessi.
Vediamo di seguito quando, perché e, soprattutto, come dovrebbe essere eseguita una buona DPIA, prendendo come imprescindibile ed indispensabile riferimento le Linee Guida WP248 rev. 01 adottate dal WP29 il 4 ottobre 2017.
Dalla gap analysis alla compliance GDPR: adempimenti per mettere in sicurezza i processi aziendali
Indice degli argomenti
Perché e quando deve essere eseguita una DPIA
I Garanti Europei, nelle citate Linee Guida, precisano che la DPIA è uno strumento importante per la responsabilizzazione, in quanto sostiene i titolari del trattamento, non soltanto nel rispettare i requisiti del GDPR, ma anche nel dimostrare che sono state adottate misure appropriate per garantire il rispetto della normativa privacy.
In altre parole, una valutazione d’impatto sulla protezione dei dati è uno strumento di accountability, i.e. un processo inteso a garantire e dimostrare la compliance al GDPR.
La DPIA deve sempre essere eseguita quando un singolo trattamento, o un insieme di trattamenti simili, presenti rischi elevati simili.
Come si identifica un rischio elevato? Il Considerando 75 riporta una casistica di scenari che descrivono rischi elevati, mentre l’art.35, paragrafo 3 del GDPR indica i casi in cui è richiesta l’esecuzione di una DPIA.
Inoltre, il provvedimento del Garante Privacy Italiano n. 467 dell’11.10.2018 riporta un dettagliato elenco delle tipologie di trattamenti soggetti al requisito di una “Valutazione d’impatto sulla Protezione dei Dati”[2].
Quindi per comprendere quando sussista l’obbligo di avviare una DPIA, bisogna necessariamente consultare tali riferimenti.
La DPIA dei produttori e fornitori
Le Linee Guida WP 248 chiariscono che è possibile eseguire una DPIA anche su un prodotto tecnologico (e.g. un prodotto hardware e software) a cura dei produttori. Così, pur restando, ovviamente, impregiudicato l’obbligo del titolare di eseguire la propria valutazione di impatto, questa sarà comunque agevolata dalla possibilità di utilizzare le informazioni contenute nella DPIA del fornitore del prodotto.
Questa indicazione è complementare all’esortazione dei Garanti Europei che hanno chiaramente raccomandato[3] ai “titolari” di non scegliere produttori o responsabili del trattamento che non offrano sistemi in grado di consentire o facilitare l’adempimento degli obblighi posti dall’articolo 25 GDPR (privacy by design e by default) in capo ai titolari stessi, poiché saranno sempre questi ultimi a rispondere dell’eventuale mancata attuazione.
Come dovrebbe essere sviluppata una DPIA
Il GDPR, all’art.35, par.7 e nei Considerando 84 e 90, ha fissato le caratteristiche minime di una DPIA per la cui esecuzione, invero, i titolari possono ricorrere a metodologie diverse. Però, per poter essere effettivamente “compliant” al GDPR, gli stessi titolari devono necessariamente scegliere una metodologia che, comunque, deve essere conforme ai criteri fissati nell’allegato 2 alle Linee Guida WP248 rev.01[4].
Questa precisazione è molto importante poiché fa comprendere che l’utilizzo di specifici “tools” per l’esecuzione della DPIA, sia gratuiti che a pagamento, non consentono di realizzare la compliance se non sono perfettamente allineati ai criteri riportati nel citato Allegato 2 delle Linee Guida WP248.
Ecco perché detti criteri vengono, quindi, di seguito strutturati ed analiticamente descritti sotto forma di steps/adempimenti da realizzare al fine di sviluppare correttamente il processo di valutazione di impatto.
Primo Step: descrizione sistematica del trattamento DPIA
In questa prima fase deve essere definito il contesto, i.e. il perimetro entro il quale deve essere effettuata la valutazione.
Bisogna quindi seguire i seguenti items, curando che, per ogni domanda, venga delineata una risposta che contenga descrizioni analitiche, dettagliate e articolate.
1 | Qual è la natura, l’ambito di applicazione, il contesto e la finalità del trattamento? |
2 | Quali sono le tipologie di dati personali? |
3 | Chi sono i destinatari dei dati personali? |
4 | Qual è il periodo di conservazione dei dati raccolti e trattati? |
5 | Come si sviluppa il trattamento? (fornire una descrizione funzionale) |
6 | Quali sono gli «asset» utilizzati per il trattamento dei dati personali (hardware, software, reti, persone, canali cartacei o di trasmissione cartacea)? |
7 | Esiste un codice di concotta approvato? |
Secondo step: valutazione della necessità e della proporzionalità
Questo step prevede che si verifichi che sono state effettivamente determinate le misure previste per affrontare i rischi elevati connessi al trattamento.
Devono essere valutate le 2 classi di misure di seguito specificate.
Anche in questo caso le risposte devono essere dettagliate ed analitiche.
Misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base dei seguenti elementi di informazione: | |
1 | Gli scopi del trattamento sono determinati, espliciti e legittimi? |
2 | Quali sono le basi giuridiche che rendono lecito il trattamento? |
3 | I dati raccolti sono adeguati, pertinenti e limitati a quanto è necessario in relazione alle finalità per cui sono trattati? |
4 | È fissato un limite per la conservazione? |
Misure che contribuiscono ai diritti degli interessati | |
1 | Come sono informati del trattamento gli interessati? |
2 | Come fanno gli interessati a esercitare i loro diritti di accesso e di portabilità dei dati? |
3 | Come fanno gli interessati a esercitare i loro diritti di rettifica e di cancellazione? |
4 | Come fanno gli interessati a esercitare i loro diritti di limitazione e di opposizione? |
5 | Gli obblighi dei responsabili del trattamento sono definiti con chiarezza e disciplinati da un contratto? |
6 | In caso di trasferimento di dati al di fuori dell’Unione europea, i dati godono di una protezione equivalente? |
Terzo step: gestione dei rischi per i diritti e le libertà degli interessati
Questa è la fase più complessa ma anche più interessante di tutto il processo di valutazione. Prevede che vengano determinate, dalla prospettiva degli interessati, l’origine, la natura, la particolarità e la gravità dei rischi e, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati). Vanno quindi considerate, in modo distinto, diacronicamente, 3 diverse dimensioni del rischio: perdita di riservatezza, di integrità e di disponibilità.
Specificamente, in concreto si dovrà:
- individuare le fonti di rischio;
- comprendere e valutare l’impatto potenziale per i diritti e le libertà degli interessati in caso di eventi che includono l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati (che possono comportare quindi perdita di riservatezza, di integrità e di disponibilità);
- definire possibili minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati nonchè valutare la loro probabilità (probabilità di occorrenza della minaccia);
- valutare quindi il rischio – combinando l’impatto e la probabilità di accadimento della minaccia;
- determinare le misure previste per gestire tali rischi.
Il rischio dovrà essere comunque considerato in base a una valutazione oggettiva[5], cioè facendo ricorso a specifiche metriche.
Proponiamo di seguito un metodo.
DPIA: individuazione delle fonti di rischio
In linea con quanto raccomandato dal Considerando 90 GDPR e dall’allegato 2 delle Linee Guida WP 248, il prodromo della gestione dei rischi è l’individuazione delle fonti di rischio. Di seguito la tabella estratta dal sito dell’Autorità di Controllo francese (CNIL), sono riportati alcuni esempi di fonti di rischio.
Tipi di fonti di rischio | Esempi |
Fonti umane interne | Dipendenti, tirocinanti, manager |
Fonti umane esterne | Destinatari dei dati personali, terze parti autorizzate, fornitori di servizi, hacker, visitatori, ex dipendenti, attivisti, concorrenti, clienti, personale addetto alla manutenzione, criminali, sindacati, giornalisti, organizzazioni non governative, organizzazioni criminali, organizzazioni sotto il controllo di uno stato estero, organizzazioni terroristiche, industrie vicine, attività |
Fonti non umane | Codice malevolo di origine sconosciuta (virus, worm, ecc.), acqua (condutture, corsi d’acqua, ecc.), materiali infiammabili, corrosivi o esplosivi, disastri naturali, epidemie, animali. |
Comprensione e valutazione dell’impatto sulla Privacy
Dopo aver individuato le fonti di rischio, si dovrà comprendere e valutare l’impatto sui diritti e libertà degli interessati, che si avrebbe qualora il rischio si trasformi in danno fisico, materiale o immateriale[6]. Occorre quindi stabilire una scala che indichi i livelli di impatto, i.e. di gravità crescenti (e.g. basso, medio, alto, altissimo) corrispondenti ad una specifica tassonomia di danni.
Questa tassonomia può essere predisposta dal “valutatore” sulla base di evenienze statistiche. Utili tassonomie sono contenute negli specifici “tools” o anche negli “Annex” di alcuni standards internazionali (e.g. ISO 29134:2017).
A titolo esemplificativo si riporta di seguito una tabella estrapolata dalla pubblicazione “Handbook on Security of Personal Data Processing” predisposta da ENISA a beneficio delle Piccole e Medie Imprese.
Ovviamente, dovranno essere eseguite 3 valutazioni: una per ogni livello di impatto (i.e. perdita di riservatezza, di integrità e di disponibilità).
Il punteggio che indica il più alto di questi livelli dovrà essere considerato come unico risultato finale della valutazione dell’impatto.
Definizione di possibili minacce e valutazione della loro probabilità
Dopo aver valutato il livello di impatto bisogna:
- definire le possibili minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati, i.e. una perdita di riservatezza, di integrità e di disponibilità;
- valutare la loro probabilità, i.e. la c.d. probabilità di occorrenza della minaccia.
Analogamente a quanto realizzato precedentemente per comprendere e valutare l’impatto, anche in questa fase occorre definire una tassonomia delle minacce e stabilire una scala che indichi i livelli di probabilità di occorrenza delle minacce stesse (e.g.: improbabile, poco probabile, probabile, altamente probabile). Anche questa tassonomia può essere predisposta dalla persona che esegue la DPIA, ovvero può essere estratta dagli specifici “tools” o dagli “Annex” di standards internazionali (e.g. ISO 29134:2017).
Anche il risultato della valutazione della probabilità di occorrenza delle minacce sarà un punteggio.
Valutazione del rischio del trattamento dei dati personali
Dopo aver valutato l’impatto del trattamento dei dati personali e la probabilità di accadimento delle minacce, si otterranno 2 punteggi utili ad effettuare la valutazione finale del rischio.
Per tale valutazione, in genere, si utilizza la nota matrice del rischio, mutuata dall’ecosistema della Safety, prevista dallo standard EN ISO 12100:2010, con applicazione del metodo 4×4 (R= PxG, dove R è il rischio, P è la Probabilità e G è la Gravità).
Il fattore della moltiplicazione tra il punteggio indicativo della gravità e quello relativo alla probabilità sarà la misura del c.d. rischio inerente[7]. Se tale valore sarà uguale od inferiore a 3, se cioè resterà nell’area verde della matrice (che indica il cosiddetto rischio accettabile) il trattamento potrà essere avviato.
Se invece il rischio inerente risulterà fuori dall’area verde della matrice, perché superiore a 3, si dovrà intervenire trattando il rischio, i.e. applicando delle misure di mitigazione.
Determinazione delle misure previste per gestire i rischi
Se il livello di rischio, in esito alla valutazione risulta fuori dall’area verde della matrice, è necessario adottare delle misure di sicurezza appropriate per la protezione dei dati personali, i.e. misure tecniche ed organizzative che siano funzionali ad abbattere l’impatto (la gravità) e la probabilità di occorrenza delle minacce.
Per individuare tali misure si consiglia di far ricorso a specifici standards internazionali (e.g. ISO 27001:2022).
Dopo il trattamento dovrà essere eseguita un’ulteriore valutazione. Il fattore della moltiplicazione tra i 2 nuovi punteggi di gravità e probabilità sarà il c.d. rischio residuo Se questo sarà uguale od inferiore al rischio accettabile si potrà avviare il trattamento.
Nel caso in cui il punteggio, in esito all’ulteriore valutazione, resti ancora fuori dall’area verde della matrice, non sarà possibile avviare il trattamento. Si potrà però valutare l’opportunità di consultare l’Autorità Garante trasmettendo copia della DPIA.
Ulteriori adempimenti DPIA
Il titolare del trattamento che esegue la DPIA deve comunque consultarsi con il proprio DPO e, se del caso, deve raccogliere le opinioni degli interessati e dei loro rappresentanti.
Inoltre va sempre tenuto presente che la DPIA non è un esercizio “una tantum”, ma un processo continuo, soprattutto quando un trattamento è dinamico ed è soggetto a variazioni continue[8].
Whistleblower, l’aggiornamento DPIA
Da poche settimane, il Senato ha approvato lo schema di decreto legislativo per attuare la direttiva dell’Unione Europea riguardante la tutela dei whistleblower, ovvero le persone che segnalano violazioni del diritto dell’Unione. Questo decreto recepisce il contenuto della direttiva, ma introduce anche una norma nuova: tutti i soggetti che devono predisporre canali di segnalazione interni per i whistleblower, sono tenuti a effettuare una valutazione di impatto sulla protezione dei dati (DPIA).
Questa novità ha colto di sorpresa gli interessati, soprattutto le pubbliche amministrazioni di dimensioni più ridotte, considerando che l’Italia non ha scelto di esentare i comuni con meno di 10mila abitanti o le amministrazioni con meno di 50 dipendenti dall’obbligo di predisporre tali canali interni per la gestione delle segnalazioni.
NOTE
Vds. Considerando 83 GDPR. ↑
Stilato sulla base dei criteri fissati dal paragrafo III, lettera B) delle citate Linee Guida WP248. ↑
Vds. punto 96 Linee Guida EDPB 4/2019 sull’applicazione dell’art. 25 GDPR. ↑
Così al Paragrafo III, D, c) delle Linee Guida WP 248 rev. 01. ↑
Così il Considerando 76 del GDPR. ↑
Vds. Considerando 75 e 83 GDPR. ↑
Vds. Considerando 83. ↑
Così testualmente al Paragrafo III, D, a) delle Linee Guida WP 248 rev. 01. ↑
