Il nuovo Regolamento Europeo sulla Privacy (Reg. UE 2016/679 – “GDPR”) ha introdotto l’obbligo di condurre una valutazione di impatto sulla protezione dei dati personali, al verificarsi di determinate condizioni (Data Protection Impact Assessment o DPIA). La DPIA è volta ad analizzare un determinato trattamento di dati personali per valutarne i relativi rischi, allo scopo di predisporre adeguate misure di sicurezza, sia di carattere organizzativo che tecnico.

Quali rischi devono essere considerati nel processo DPIA?

La valutazione deve riguardare tutti i rischi derivanti dalle attività di trattamento dei dati personali che possono comportare impatti negativi sulle persone fisiche, sia in termini di diritti che di libertà. Ad esempio, un malfunzionamento nel sistema di profilazione automatizzata della clientela può comportare una valutazione errata di una richiesta di finanziamento, oppure la diffusione non autorizzata dei dati relativi al cliente.

La DPIA deve considerare anche la presenza di specifiche condizioni che possono aumentare complessivamente il rischio del trattamento. L’utilizzo di nuove tecnologie come il mobile, a titolo esemplificativo, non è di per sé un evento di rischio, ma può aumentare la probabilità di un tale evento, come la perdita dei dati personali.

Per individuare i rischi da considerare nella valutazione di impatto è necessario ripercorrere tutto il ciclo di vita dei trattamenti, costituito, tra l’altro, da:

  • progettazione di un nuovo trattamento,
  • acquisizione dei dati dagli interessati,
  • archiviazione dei dati da parte di fornitori terzi,
  • cancellazione dei dati al termine del trattamento.

Non è quindi sufficiente considerare la sola fase di elaborazione dei dati personali per individuare i rischi oggetto di DPIA.

Come anticipato, le principali aree di rischio per la DPIA sono quindi le seguenti:

1. Attività di trattamento – rischi insiti nelle attività di trattamento stesse (es. richiesta di finanziamento respinta a seguito di una valutazione automatizzata errata).

2. Sicurezza dati – rischi esterni che incombono sui dati personali trattati (es. violazione dei dati relativi alle richieste di finanziamento della clientela).

Quali sono i principali riferimenti normativi

I principali riferimenti normativi e metodologici che devono essere considerati nel processo DPIA sono i seguenti:

  • Regolamento UE 2016/679 (GDPR) – artt. 35, 36; considerando 75, 76, 83
  • D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 – art. 110
  • WP29 – Linee-guida in materia di valutazione di impatto sulla protezione dei dati
  • ISO 31000 – Risk management – Principles and guidelines
  • ISO 29134 – IT – Security techniques – Guidelines for privacy impact assessment

Se dalla valutazione di impatto emerge che, nonostante le misure di sicurezza adottate, i rischi rimangono elevati, è necessario consultare l’Autorità in materia di privacy prima di dare il via alle attività di trattamento.

L’obbligo di svolgere la DPIA vige dal 25 maggio 2018. La valutazione deve essere comunque considerata per i nuovi trattamenti e per quelli che, per variazioni intervenute, possono presentare un rischio elevato. La normativa lascia libertà sui criteri e le metodologie da impiegare per la valutazione dei rischi e delle relative misure da implementare, a parte alcune indicazioni di carattere generale.

Un utile paper per conoscere meglio la DPIA

Con l’obiettivo di dare informazioni utili all’impostazione e svolgimento della valutazione di impatto, MACFIN Group in collaborazione con lo studio legale CMS ha realizzato un paper contenente la descrizione degli obiettivi e delle caratteristiche della DPIA, dei criteri di individuazione dei rischi da valutare e delle tempistiche di effettuazione, che potete scaricare gratuitamente sul bottone qui sotto.

 

 
 
 


A cura di Alessandro Salibra Bove – Partner di MACFIN Group
Socio AIIA ed ISACA. Certificato CISA, CISM, CGEIT, CRISC, ISO 27001 Lead Auditor ed ITIL Foundation. Esperto di audit, compliance e risk management con specializzazione in ambito IT