Abbiamo detto che la valutazione d'impatto è una scelta che in alcuni casi è facoltativa in altri obbligatoria: infatti, non va condotta per tutti i trattamenti, ma solo per quelli che per la loro natura, finalità, oggetto oppure per gli strumenti o tecnologie utilizzate, possono esporre i dati degli interessati rischi elevati.
Andiamo a vedere ora quali sono, in concreto, le attività che sarà necessario svolgere.
Per ciascun trattamento, per capire se presentano un rischio elevato e quindi dovranno essere inseriti all'interno della DPIA, si dovranno raccogliere le seguenti informazioni:
quali sono i soggetti interessati a cui si riferiscono i dati ed il periodo di conservazione dei dati.
quali sono le categorie di dati oggetto di trattamento (se sono personali e/o sensibili)
quali sono le finalità; devono essere finalità determinate, esplicite e legittime (ad esempio comunicazioni commerciali o marketing, oppure adempimento degli obblighi fiscali o di legge, ecc)
qual'è il contesto del trattamento (incluse le fonti da cui i dati vengono raccolti, se sono coinvolte parti terze nel trattamento e se siano all’interno o al di fuori del territorio europeo, e così via)
qual'è la natura del trattamento
una descrizione delle operazioni di trattamento (raccolta, analisi, trasferimento, tipi di utilizzo, ecc)
le modalità (cartacee e/o informatizzate) e gli strumenti con cui viene effettuato il trattamento (quali hardware o software), e l’indicazione dei canali (rete fisica o virtuale) attraverso cui vengono trasferiti i dati
i flussi informativi (ad esempio comunicazione, diffusione, cessione o trasferimento dei dati)
i soggetti destinatari dei dati e se siano interni o esterni all’organizzazione del titolare del trattamento e che accederanno a tali dati con indicazione dei motivi e delle finalità per cui ricevono tali dati
Questa valutazione risponde ad una precisa disposizione del Regolamento. Per il titolare del trattamento si tratterà di verificare che il trattamento oggetto di valutazione sia necessario allo scopo per cui inizia (cioè senza tali dati non è possibile procedere con determinate attività della organizzazione) e proporzionale.
Andranno quindi verificate le misure sicurezza, le garanzie per gli interessati ed a protezione dei dati. Tali meccanismi vanno enunciati anche a dimostrazione della conformità al Regolamento.
Nel dettaglio cosa andrà descritto?
Riguardo alla liceità del trattamento, quindi alla necessità e proporzionalità:
a) l’indicazione di quali sono le finalità. Queste devono essere determinate, esplicite e legittime;
b) l’impiego di dati adeguati, pertinenti e limitati (solo quelli che servono o che sono necessari) rispetto alle finalità e le modalità con cui il titolare assicura l’accuratezza dei dati (controllo che siano corretti, completi e riferiti all'interessato);
c) la limitazione della conservazione ad un arco di tempo non superiore al conseguimento delle finalità: quando non servono più andranno eliminati in modo sicuro;
d) il presupposto di legittimità del trattamento (es: il consenso prestato dall'interessato, un obbligo legale/fiscale, legittimo interesse del titolare e così via);
Riguardo le condizioni e le misure che assicurano il corretto esercizio dei diritti degli interessati
a) ai soggetti interessati devono essere fornite informazioni chiare, complete e comprensibili riguardo il trattamento dei loro dati; in particolare andranno indicati i soggetti a cui possono rivolgersi per ottenere ulteriori informazioni e per esercitare i propri diritti (accesso ai dati, rettifica, aggiornamento, opposizione, cancellazione, portabilità, diritto all'oblio);
b) quali sono le procedure messe a punto per garantire il diritto e l’effettiva possibilità di esercitarlo: richiedere l'accesso, la rettifica, la cancellazione, l’aggiornamento, la portabilità dei dati, nonché l’opposizione e la limitazione del trattamento;
c) quali sono le garanzie che legittimano il trasferimento di dati verso un Paese terzo extra-europeo (decisioni di adeguatezza, clausole contrattuali, e così via).
a) le garanzie (es: descrizione delle tecniche di pseudonimizzazione e di cifratura, minimizzazione, implementazione della privacy by design e by default, previsione di procedure volte verificare e valutare l’efficacia delle misure adottate);
b) misure di sicurezza organizzative (es: descrizione delle norme e delle procedure che regolano l'organizzazione della sicurezza);
c) misure di sicurezze fisiche di protezione delle aree delle apparecchiature, pc, server, db ed altro, dei dati;
d) misure di sicurezza logiche (es: backup, piano di disaster recovery, piani di continuità operativa, ecc.) sia che riguardino il corretto utilizzo degli strumenti elettronici, che la loro corretta gestione e manutenzione;
e) adozione, se prevista, di codici di condotta e/o meccanismi di certificazione.
In questo caso non si tratta di un obbligo. Tuttavia appare opportuno prevedere una fase di consultazione con tutte le parti interessate ai trattamenti, non solo all'interno della organizzazione del titolare del trattamento, ma anche all'esterno con il coinvolgimento sia degli interessati (o loro rappresentanti) che con le altre organizzazioni o terze parti con le quali i dati vengono condivisi. Si pensi allo studio che gestische i cedolini paghe, il medico del lavoro, ecc. Lo scopo è di garantire una visione complessiva condivisa nei metodi, per garantire la massima trasparenza.
La consultazione può essere svolta con le modalità che il titolare del trattamento ritiene opportune. Ad esempio somministrazione di questionari, incontri o sessioni.
A questo punto, avendo raccolto tutta la documentazione necessaria ed avendo condiviso metodi e procedure, sarà possibile procedere alla identificazione dei rischi. Si tratterà di fare una analisi del ciclo di vita dei dati in considerazione dell'impiego dei dati stessi, le finalità per cui sono stati raccolti e per cui vengono utilizzati, le tecnologie utilizzate per il trattamento e per la loro protezione ed i soggetti che sono autorizzati a trattarli (titolare, responsabile ed incaricato al trattamento).
Per prima cosa andranno ricercate le possibili fonti di rischio. In relazione ai comportamenti degli operatori interni alla organizzazione e/o di terze parti (responsabili ed incaricati del trattamento) verificare la possibilità o probabilità di sottrazione delle credenziali, distrazione, comportamenti fraudolenti o sleali. In relazione poi agli strumenti, hardware e software utilizzati, verificare la possibilità o probabilità di violazioni o infezioni (es. virus, malfunzionamenti, guasti,intercettazioni di flussi di dati, accessi non autorizzai dall'interno o dall'esterno della organizzazione, e tutti gli eventi che comportino vilazioni, alterazioni, perdita o distruzione dei dati). In relazione al contesto in cui si opera (infrastruttura, logistica della organizzazione, ecc) verificare la possibilità o probabilità che possano avvenire sottrazione/furto degli strumenti che contengono dati, eventi naturali o provocati dall'uomo che possano determinare la distruzione degli strumenti che contengono dati.
In secondo luogo, in relazione alla probabilità con cui tali eventi si potrebbero verificare, andrà valutato l'impatto che potrebbero avere sui dati e riguardo ai diritti degli interessati, assegnando a ciascun rischio un grado di probabilità e di impatto (es. nessuno, lieve, medio, alto, grave, gravissimo).
Infine, identificati i rischi e gli impatti possibili, occorre prevedere procedure per la gestione dei rischi stessi e scegliere se un determinato rischio debba essere eliminato, mitigato oppure accettato in relazione alla probabilità che si possa verificare ed in realzione al grado di impatto. Sempre in relazione alla analisi effettuata, laddove risulti opportuno, sarà necessario prevedere un piano di ammodernamento degli strumenti e delle misure di sicurezza tenendo conto sia della evoluzione tecnologica, sie della evoluzione dei rischi ed in relazione ad eventuali situazioni di rischi che possono emergere nel corso del tempo.
Al termine della valutazione d'impatto, verrà redatto un report finale.
Dovrà contenere la descrizione delle attività svolte, la descrizione di tutte le informazioni raccolte nelle attività di cui abbiamo detto nei precedenti punti, descrizione sistematica anche delle misure e delle procedure relative ai rimedi previsti e da implementare a contrasto dei rischi che sono emersi in fase di analisi.
Oltre alle informazioni raccolte nelle precedenti fasi, alla verifica che i principi fondamentali di trattamento siano stati rispettati, che il trattamento sia legittimo e che siano state valutate garanzie e misure adeguate (cioè al privacy assessment ), attraverso l’identificazione, l’analisi e la gestione dei rischi, il report dovrà indicare:
1. l’organizzazione, il progetto o l'attività per cui si è proceduto con la valutazione d’impatto;
2. i soggetti che hanno svolto la valutazione d’impatto ed i dati di contatto di un referente nominato;
3. i soggetti che sono, eventualmente, stati consultati con indicazione dell’esito di tali consultazioni;
4. le misure e i rimedi per mitigare i rischi individuati.
Tuttavia non si può ritenere concluso il processo di valutazione d’impatto con la redazione del report finale. A norma del Regolamento il report non è obbligatorio ma "il Gruppo di lavoro Art. 29 raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni".
La valutazione d’impatto infatti rappresenta un “processo continuo” da riesaminare periodicamente o quando dovesse rilevarsi un cambiamento significativo riguardante la natura, la finalità o le modalità del trattamento. Tra i mutamenti che rilevano ai fini della revisione della valutazione d'impatto si può sicuramente annoverare l’introduzione di nuove tecnologie. Tali attività di revisione ed aggiornamento sono quindi momenti rilevanti nel processo di valutazione d’impatto, in quanto hanno lo scopo dievitare che eventuali cambiamenti possano incidere negativamente sull’osservanza del regolamento e garantendone così la costante conformità.
Qualora il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. Se, al contrario, la situazione di rischio non sia stata mitigata o il trattamento mostri un rischio ancora elevato, ci si dovrà rivolgere all’autorità di controllo (Garante per la protezione dei dati personali) ed avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.
Vediamo, insieme all'avv Stefano Nardini, in cosa consite il nuovo piano ispezioni del Garante e in quali ambiti si concentrerà. Il Garante della Privacy ha pubblicato il nuovo piano ispettivo che individua il perimetro delle indagini che verranno svolte nella seconda parte dell'anno, in modo autonomo, per il tramite la Guardia di Finanza. L'adeguamento alle norme e la documentazione è il minimo indispensabile ma una effettiva "compliance" non tutti se la sono ancora data, situazione piuttosto rischiosa visto l'ambito operativo delle nuove indagini. Se...
Scritto da: Luigi DuraccioGli hacker hanno violato la tua email e non sai cosa fare? Oppure hai solo il sospetto che ti abbiano rubato le credenziali? Ecco cosa devi fare. Quando abbiamo il sospetto che la nostra mail sia stata violata, oppure ci hanno segnalato che arrivano delle strane email dal nostro account di posta personale o aziendale, ci sono alcune attenzioni da adottare e procedure da seguire. Si tratta di uno degli eventi più diffusi ed allo stesso tempo più sottovalutati dagli utenti nell'ambito...
Scritto da: Luigi DuraccioTutti i sistemi sono vulnerabili; proteggersi al 100% non è possibile ma sottovalutare il problema potrebbe essere fatale. Come ben sappiamo, la sicurezza informatica di una organizzazione, azienda ente pubblico o altro, è molto importante. Garantire che le informazioni gli stessi dati della azienda e dei suoi clienti non cadano nelle mani di malintenzionati è vitale! In questo quadro si inseriscono le attività degli hacker che, in cerca di denaro, non si fanno scrupoli nel cercare di violare la rete o...
Scritto da: Luigi DuraccioTutto quello che c’è da sapere sugli strumenti a disposizione delle aziende per finanziare a fondo perduto la formazione dei propri dipendenti. Da in4mati.com Autore Luigi Duraccio 2 min Vedi originale Le aziende hanno un’interessante opportunità: possono organizzare – nella propria azienda – corsi di formazione finanziati per accrescere le competenze professionali dei propri dipendenti. Stiamo parlando della “formazione finanziata“, uno strumento molto importante e di grande aiuto per tutte quelle imprese che vogliono mantenersi sempre al passo con i cambiamenti e che vogliono formare – in maniera continua...
Scritto da: Luigi Duraccio6 domande per verificare facilmente se possiamo reggere ad un controllo sull'adeguamento al GDPR. Da in4mati.com Autore Caterina Cabiddu 1 min Vedi originale Come sappiamo, in base ai protocolli nazionali stipulati con il Garante della Privacy, spetta alla Guardia di Finanza procedere ai controlli per la verifica dell’adeguamento al Regolamento Europeo. E’ quindi essenziale conoscere i profili su cui si incentrano i controlli. Il punto di partenza è naturalmente la verifica ex art. 32, ovvero l’approntamento delle opportune misure tecniche ed organizzative o meglio la capacità del...
Scritto da: Luigi DuraccioCosa sono gli attacchi informatici “Zero Day” e cos’hanno in comune col Covid-19. Da in4mati.com Autore Luigi Duraccio 1 min Vedi originale I rischi informatici sono molto cambiati negli ultimi anni ma il tema della sicurezza informatica ancora non è prioritario, soprattutto nelle piccole organizzazioni. Lo dimostra la grande superficialità nell’approccio alla protezione dei dati. E’ necessaria una diversa consapevolezza nelle imprese e tra i cittadini. Come è cambiata la sicurezza informatica. Dagli anni ’70, quando fu scoperto il primo malware risale agli anni ’70 che ha portato alla creazione del...
Scritto da: Luigi DuraccioDiffusi i bandi per accedere ai contributi per l’Innovazione Digitale 2020 per l’industria del 4.0 di micro, piccole e medie imprese. Da in4mati.com Autore Luigi Duraccio 1 min Vedi originale In un periodo che richiede ancora distanziamento sociale e un percorso di ripresa post-lockdown, la digitalizzazione delle imprese risulta essere un’ancora di salvezza per molte aziende che hanno bisogno di un aiuto concreto per le loro attività. I voucher digitali sono un sostegno reale per micro, piccole e medie imprese, rientrano infatti tra le strategie del Piano Transizione 4.0,...
Scritto da: Luigi DuraccioIl Sistema Pubblico d’Identità Digitale è necessario per ottenere alcuni importanti Bonus Fiscali, per effettuare iscrizioni pubbliche e per accedere a gran parte dei siti della Pubblica Amministrazione. Vediamo cos’è e come ottenerlo. Da in4mati.com Autore Luigi Duraccio 1 min Vedi originale Il Sistema Pubblico d’Identità Digitale è necessario per ottenere alcuni importanti Bonus Fiscali, per effettuare iscrizioni pubbliche e per accedere a gran parte dei siti della Pubblica Amministrazione. Tramite l’identità digitale veniamo riconosciuti, ci muoviamo nel WEB ed in ogni sistema informatico, è quindi...
Scritto da: Luigi DuraccioDa in4mati.com Autore Caterina Cabiddu 2 min Vedi originale Le aziende tendono a sottovalutare le problematiche inerenti la rispondenza dei siti web al GDPR, vuoi perché le ritengono esaurite con la consegna del sito da parte di coloro che lo hanno realizzato, vuoi perché pensano che “al massimo” ci siano da “sistemare” i consensi, cookie ed informative. La realtà è che anche siti di recentissima realizzazione non sono rispettosi delle regole GDPR e quando, stupiti, i titolari ne prendono atto, si presenta una ulteriore...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.