GDPR: come svolgere la valutazione d'impatto, cosa deve contenere.

Abbiamo detto che la valutazione d'impatto è una scelta che in alcuni casi è facoltativa in altri obbligatoria: infatti, non va condotta per tutti i trattamenti, ma solo per quelli che per la loro natura, finalità, oggetto oppure per gli strumenti o tecnologie utilizzate, possono esporre i dati degli interessati rischi elevati.

Andiamo a vedere ora quali sono, in concreto, le attività che sarà necessario svolgere.

1. Identificare i trattamenti

Per ciascun trattamento, per capire se presentano un rischio elevato e quindi dovranno essere inseriti all'interno della DPIA, si dovranno raccogliere le seguenti informazioni:

quali sono i soggetti interessati a cui si riferiscono i dati ed il periodo di conservazione dei dati.

quali sono le categorie di dati oggetto di trattamento (se sono personali e/o sensibili)

quali sono le finalità; devono essere finalità determinate, esplicite e legittime (ad esempio comunicazioni commerciali o marketing, oppure adempimento degli obblighi fiscali o di legge, ecc)

qual'è il contesto del trattamento (incluse le fonti da cui i dati vengono raccolti, se sono coinvolte parti terze nel trattamento e se siano all’interno o al di fuori del territorio europeo, e così via)

qual'è la natura del trattamento

una descrizione delle operazioni di trattamento (raccolta, analisi, trasferimento, tipi di utilizzo, ecc)

le modalità (cartacee e/o informatizzate) e gli strumenti con cui viene effettuato il trattamento (quali hardware o software), e l’indicazione dei canali (rete fisica o virtuale) attraverso cui vengono trasferiti i dati

i flussi informativi (ad esempio comunicazione, diffusione, cessione o trasferimento dei dati)

i soggetti destinatari dei dati e se siano interni o esterni all’organizzazione del titolare del trattamento e che accederanno a tali dati con indicazione dei motivi e delle finalità per cui ricevono tali dati

2. Effettuare la valutazione sulla necessità e proporzionalità del trattamento

Questa valutazione risponde ad una precisa disposizione del Regolamento. Per il titolare del trattamento si tratterà di verificare che il trattamento oggetto di valutazione sia necessario allo scopo per cui inizia (cioè senza tali dati non è possibile procedere con determinate attività della organizzazione) e proporzionale.

Andranno quindi verificate le misure sicurezza, le garanzie per gli interessati ed a protezione dei dati. Tali meccanismi vanno enunciati anche a dimostrazione della conformità al Regolamento.

Nel dettaglio cosa andrà descritto?

Riguardo alla liceità del trattamento, quindi alla necessità e proporzionalità:

a) l’indicazione di quali sono le finalità. Queste devono essere determinate, esplicite e legittime;

b) l’impiego di dati adeguati, pertinenti e limitati (solo quelli che servono o che sono necessari) rispetto alle finalità e le modalità con cui il titolare assicura l’accuratezza dei dati (controllo che siano corretti, completi e riferiti all'interessato);

c) la limitazione della conservazione ad un arco di tempo non superiore al conseguimento delle finalità: quando non servono più andranno eliminati in modo sicuro;

d) il presupposto di legittimità del trattamento (es: il consenso prestato dall'interessato, un obbligo legale/fiscale, legittimo interesse del titolare e così via);

Riguardo le condizioni e le misure che assicurano il corretto esercizio dei diritti degli interessati

a) ai soggetti interessati devono essere fornite informazioni chiare, complete e comprensibili riguardo il trattamento dei loro dati; in particolare andranno indicati i soggetti a cui possono rivolgersi per ottenere ulteriori informazioni e per esercitare i propri diritti (accesso ai dati, rettifica, aggiornamento, opposizione, cancellazione, portabilità, diritto all'oblio);

b) quali sono le procedure messe a punto per garantire il diritto e l’effettiva possibilità di esercitarlo: richiedere l'accesso, la rettifica, la cancellazione, l’aggiornamento, la portabilità dei dati, nonché l’opposizione e la limitazione del trattamento;

c) quali sono le garanzie che legittimano il trasferimento di dati verso un Paese terzo extra-europeo (decisioni di adeguatezza, clausole contrattuali, e così via).

3.  Descrivere le garanzie e le misure di sicurezza adottate a protezione dei dati personali

a) le garanzie (es: descrizione delle tecniche di pseudonimizzazione e di cifratura, minimizzazione, implementazione della privacy by design e by default, previsione di procedure volte verificare e valutare l’efficacia delle misure adottate);

b) misure di sicurezza organizzative (es: descrizione delle norme e delle procedure che regolano l'organizzazione della sicurezza);

c) misure di sicurezze fisiche di protezione delle aree delle apparecchiature, pc, server, db ed altro, dei dati;

d) misure di sicurezza logiche (es: backup, piano di disaster recovery, piani di continuità operativa, ecc.) sia che riguardino il corretto utilizzo degli strumenti elettronici, che la loro corretta gestione e manutenzione;

e) adozione, se prevista, di codici di condotta e/o meccanismi di certificazione.

5. Effettuare le consultazioni

In questo caso non si tratta di un obbligo. Tuttavia appare opportuno prevedere una fase di consultazione con tutte le parti interessate ai trattamenti, non solo all'interno della organizzazione del titolare del trattamento, ma anche all'esterno con il coinvolgimento sia degli interessati (o loro rappresentanti) che con le altre organizzazioni o terze parti con le quali i dati vengono condivisi. Si pensi allo studio che gestische i cedolini paghe, il medico del lavoro, ecc. Lo scopo è di garantire una visione complessiva condivisa nei metodi, per garantire la massima trasparenza.

La consultazione può essere svolta con le modalità che il titolare del trattamento ritiene opportune. Ad esempio somministrazione di questionari, incontri o sessioni.

6. Identificare, analizzare e gestire i rischi

A questo punto, avendo raccolto tutta la documentazione necessaria ed avendo condiviso metodi e procedure, sarà possibile procedere alla identificazione dei rischi. Si tratterà di fare una analisi del ciclo di vita dei dati in considerazione dell'impiego dei dati stessi, le finalità per cui sono stati raccolti e per cui vengono utilizzati, le tecnologie utilizzate per il trattamento e per la loro protezione ed i soggetti che sono autorizzati a trattarli (titolare, responsabile ed incaricato al trattamento).

Per prima cosa andranno ricercate le possibili fonti di rischio. In relazione ai comportamenti degli operatori interni alla organizzazione e/o di terze parti (responsabili ed incaricati del trattamento) verificare la possibilità o probabilità di sottrazione delle credenziali, distrazione, comportamenti fraudolenti o sleali. In relazione poi agli strumenti, hardware e software utilizzati, verificare la possibilità o probabilità di violazioni o infezioni (es. virus, malfunzionamenti, guasti,intercettazioni di flussi di dati, accessi non autorizzai dall'interno o dall'esterno della organizzazione, e tutti gli eventi che comportino vilazioni, alterazioni, perdita o distruzione dei dati). In relazione al contesto in cui si opera (infrastruttura, logistica della organizzazione, ecc) verificare la possibilità o probabilità che possano avvenire sottrazione/furto degli strumenti che contengono dati, eventi naturali o provocati dall'uomo che possano determinare la distruzione degli strumenti che contengono dati.

In secondo luogo, in relazione alla probabilità con cui tali eventi si potrebbero verificare, andrà valutato l'impatto che potrebbero avere sui dati e riguardo ai diritti degli interessati, assegnando a ciascun rischio un grado di probabilità e di impatto (es. nessuno, lieve, medio, alto, grave, gravissimo).

Infine, identificati i rischi e gli impatti possibili, occorre prevedere procedure per la gestione dei rischi stessi e scegliere se un determinato rischio debba essere eliminato, mitigato oppure accettato in relazione alla probabilità che si possa verificare ed in realzione al grado di impatto. Sempre in relazione alla analisi effettuata, laddove risulti opportuno, sarà necessario prevedere un piano di ammodernamento degli strumenti e delle misure di sicurezza tenendo conto sia della evoluzione tecnologica, sie della evoluzione dei rischi ed in relazione ad eventuali situazioni di rischi che possono emergere nel corso del tempo.

7. Redarre il report finale

Al termine della valutazione d'impatto, verrà redatto un report finale.

Dovrà contenere la descrizione delle attività svolte, la descrizione di tutte le informazioni raccolte nelle attività di cui abbiamo detto nei precedenti punti, descrizione sistematica anche delle misure e delle procedure relative ai rimedi previsti e da implementare a contrasto dei rischi che sono emersi in fase di analisi.

Oltre alle informazioni raccolte nelle precedenti fasi, alla verifica che i principi fondamentali di trattamento siano stati rispettati, che il trattamento sia legittimo e che siano state valutate garanzie e misure adeguate (cioè al privacy assessment ), attraverso l’identificazione, l’analisi e la gestione dei rischi, il report dovrà indicare:

1. l’organizzazione, il progetto o l'attività per cui si è proceduto con la valutazione d’impatto;

2. i soggetti che hanno svolto la valutazione d’impatto ed i dati di contatto di un referente nominato;

3. i soggetti che sono, eventualmente, stati consultati con indicazione dell’esito di tali consultazioni;

4. le misure e i rimedi per mitigare i rischi individuati.

8. Valutare ed aggiornare la valutazione d’impatto

Tuttavia non si può ritenere concluso il processo di valutazione d’impatto con la redazione del report finale. A norma del Regolamento il report non è obbligatorio ma "il Gruppo di lavoro Art. 29 raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni".

La valutazione d’impatto infatti rappresenta un “processo continuo” da riesaminare periodicamente o quando dovesse rilevarsi un cambiamento significativo riguardante la natura, la finalità o le modalità del trattamento. Tra i mutamenti che rilevano ai fini della revisione della valutazione d'impatto si può sicuramente annoverare l’introduzione di nuove tecnologie. Tali attività di revisione ed aggiornamento sono quindi momenti rilevanti nel processo di valutazione d’impatto, in quanto hanno lo scopo dievitare che eventuali cambiamenti possano incidere negativamente sull’osservanza del regolamento e garantendone così la costante conformità.

9. Risultato e conclusione della valutazione d’impatto

Qualora il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. Se, al contrario, la situazione di rischio non sia stata mitigata o il trattamento mostri un rischio ancora elevato, ci si dovrà rivolgere all’autorità di controllo (Garante per la protezione dei dati personali) ed avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.