Abbiamo detto che la valutazione d'impatto è una scelta che in alcuni casi è facoltativa in altri obbligatoria: infatti, non va condotta per tutti i trattamenti, ma solo per quelli che per la loro natura, finalità, oggetto oppure per gli strumenti o tecnologie utilizzate, possono esporre i dati degli interessati rischi elevati.
Andiamo a vedere ora quali sono, in concreto, le attività che sarà necessario svolgere.
Per ciascun trattamento, per capire se presentano un rischio elevato e quindi dovranno essere inseriti all'interno della DPIA, si dovranno raccogliere le seguenti informazioni:
quali sono i soggetti interessati a cui si riferiscono i dati ed il periodo di conservazione dei dati.
quali sono le categorie di dati oggetto di trattamento (se sono personali e/o sensibili)
quali sono le finalità; devono essere finalità determinate, esplicite e legittime (ad esempio comunicazioni commerciali o marketing, oppure adempimento degli obblighi fiscali o di legge, ecc)
qual'è il contesto del trattamento (incluse le fonti da cui i dati vengono raccolti, se sono coinvolte parti terze nel trattamento e se siano all’interno o al di fuori del territorio europeo, e così via)
qual'è la natura del trattamento
una descrizione delle operazioni di trattamento (raccolta, analisi, trasferimento, tipi di utilizzo, ecc)
le modalità (cartacee e/o informatizzate) e gli strumenti con cui viene effettuato il trattamento (quali hardware o software), e l’indicazione dei canali (rete fisica o virtuale) attraverso cui vengono trasferiti i dati
i flussi informativi (ad esempio comunicazione, diffusione, cessione o trasferimento dei dati)
i soggetti destinatari dei dati e se siano interni o esterni all’organizzazione del titolare del trattamento e che accederanno a tali dati con indicazione dei motivi e delle finalità per cui ricevono tali dati
Questa valutazione risponde ad una precisa disposizione del Regolamento. Per il titolare del trattamento si tratterà di verificare che il trattamento oggetto di valutazione sia necessario allo scopo per cui inizia (cioè senza tali dati non è possibile procedere con determinate attività della organizzazione) e proporzionale.
Andranno quindi verificate le misure sicurezza, le garanzie per gli interessati ed a protezione dei dati. Tali meccanismi vanno enunciati anche a dimostrazione della conformità al Regolamento.
Nel dettaglio cosa andrà descritto?
Riguardo alla liceità del trattamento, quindi alla necessità e proporzionalità:
a) l’indicazione di quali sono le finalità. Queste devono essere determinate, esplicite e legittime;
b) l’impiego di dati adeguati, pertinenti e limitati (solo quelli che servono o che sono necessari) rispetto alle finalità e le modalità con cui il titolare assicura l’accuratezza dei dati (controllo che siano corretti, completi e riferiti all'interessato);
c) la limitazione della conservazione ad un arco di tempo non superiore al conseguimento delle finalità: quando non servono più andranno eliminati in modo sicuro;
d) il presupposto di legittimità del trattamento (es: il consenso prestato dall'interessato, un obbligo legale/fiscale, legittimo interesse del titolare e così via);
Riguardo le condizioni e le misure che assicurano il corretto esercizio dei diritti degli interessati
a) ai soggetti interessati devono essere fornite informazioni chiare, complete e comprensibili riguardo il trattamento dei loro dati; in particolare andranno indicati i soggetti a cui possono rivolgersi per ottenere ulteriori informazioni e per esercitare i propri diritti (accesso ai dati, rettifica, aggiornamento, opposizione, cancellazione, portabilità, diritto all'oblio);
b) quali sono le procedure messe a punto per garantire il diritto e l’effettiva possibilità di esercitarlo: richiedere l'accesso, la rettifica, la cancellazione, l’aggiornamento, la portabilità dei dati, nonché l’opposizione e la limitazione del trattamento;
c) quali sono le garanzie che legittimano il trasferimento di dati verso un Paese terzo extra-europeo (decisioni di adeguatezza, clausole contrattuali, e così via).
a) le garanzie (es: descrizione delle tecniche di pseudonimizzazione e di cifratura, minimizzazione, implementazione della privacy by design e by default, previsione di procedure volte verificare e valutare l’efficacia delle misure adottate);
b) misure di sicurezza organizzative (es: descrizione delle norme e delle procedure che regolano l'organizzazione della sicurezza);
c) misure di sicurezze fisiche di protezione delle aree delle apparecchiature, pc, server, db ed altro, dei dati;
d) misure di sicurezza logiche (es: backup, piano di disaster recovery, piani di continuità operativa, ecc.) sia che riguardino il corretto utilizzo degli strumenti elettronici, che la loro corretta gestione e manutenzione;
e) adozione, se prevista, di codici di condotta e/o meccanismi di certificazione.
In questo caso non si tratta di un obbligo. Tuttavia appare opportuno prevedere una fase di consultazione con tutte le parti interessate ai trattamenti, non solo all'interno della organizzazione del titolare del trattamento, ma anche all'esterno con il coinvolgimento sia degli interessati (o loro rappresentanti) che con le altre organizzazioni o terze parti con le quali i dati vengono condivisi. Si pensi allo studio che gestische i cedolini paghe, il medico del lavoro, ecc. Lo scopo è di garantire una visione complessiva condivisa nei metodi, per garantire la massima trasparenza.
La consultazione può essere svolta con le modalità che il titolare del trattamento ritiene opportune. Ad esempio somministrazione di questionari, incontri o sessioni.
A questo punto, avendo raccolto tutta la documentazione necessaria ed avendo condiviso metodi e procedure, sarà possibile procedere alla identificazione dei rischi. Si tratterà di fare una analisi del ciclo di vita dei dati in considerazione dell'impiego dei dati stessi, le finalità per cui sono stati raccolti e per cui vengono utilizzati, le tecnologie utilizzate per il trattamento e per la loro protezione ed i soggetti che sono autorizzati a trattarli (titolare, responsabile ed incaricato al trattamento).
Per prima cosa andranno ricercate le possibili fonti di rischio. In relazione ai comportamenti degli operatori interni alla organizzazione e/o di terze parti (responsabili ed incaricati del trattamento) verificare la possibilità o probabilità di sottrazione delle credenziali, distrazione, comportamenti fraudolenti o sleali. In relazione poi agli strumenti, hardware e software utilizzati, verificare la possibilità o probabilità di violazioni o infezioni (es. virus, malfunzionamenti, guasti,intercettazioni di flussi di dati, accessi non autorizzai dall'interno o dall'esterno della organizzazione, e tutti gli eventi che comportino vilazioni, alterazioni, perdita o distruzione dei dati). In relazione al contesto in cui si opera (infrastruttura, logistica della organizzazione, ecc) verificare la possibilità o probabilità che possano avvenire sottrazione/furto degli strumenti che contengono dati, eventi naturali o provocati dall'uomo che possano determinare la distruzione degli strumenti che contengono dati.
In secondo luogo, in relazione alla probabilità con cui tali eventi si potrebbero verificare, andrà valutato l'impatto che potrebbero avere sui dati e riguardo ai diritti degli interessati, assegnando a ciascun rischio un grado di probabilità e di impatto (es. nessuno, lieve, medio, alto, grave, gravissimo).
Infine, identificati i rischi e gli impatti possibili, occorre prevedere procedure per la gestione dei rischi stessi e scegliere se un determinato rischio debba essere eliminato, mitigato oppure accettato in relazione alla probabilità che si possa verificare ed in realzione al grado di impatto. Sempre in relazione alla analisi effettuata, laddove risulti opportuno, sarà necessario prevedere un piano di ammodernamento degli strumenti e delle misure di sicurezza tenendo conto sia della evoluzione tecnologica, sie della evoluzione dei rischi ed in relazione ad eventuali situazioni di rischi che possono emergere nel corso del tempo.
Al termine della valutazione d'impatto, verrà redatto un report finale.
Dovrà contenere la descrizione delle attività svolte, la descrizione di tutte le informazioni raccolte nelle attività di cui abbiamo detto nei precedenti punti, descrizione sistematica anche delle misure e delle procedure relative ai rimedi previsti e da implementare a contrasto dei rischi che sono emersi in fase di analisi.
Oltre alle informazioni raccolte nelle precedenti fasi, alla verifica che i principi fondamentali di trattamento siano stati rispettati, che il trattamento sia legittimo e che siano state valutate garanzie e misure adeguate (cioè al privacy assessment ), attraverso l’identificazione, l’analisi e la gestione dei rischi, il report dovrà indicare:
1. l’organizzazione, il progetto o l'attività per cui si è proceduto con la valutazione d’impatto;
2. i soggetti che hanno svolto la valutazione d’impatto ed i dati di contatto di un referente nominato;
3. i soggetti che sono, eventualmente, stati consultati con indicazione dell’esito di tali consultazioni;
4. le misure e i rimedi per mitigare i rischi individuati.
Tuttavia non si può ritenere concluso il processo di valutazione d’impatto con la redazione del report finale. A norma del Regolamento il report non è obbligatorio ma "il Gruppo di lavoro Art. 29 raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni".
La valutazione d’impatto infatti rappresenta un “processo continuo” da riesaminare periodicamente o quando dovesse rilevarsi un cambiamento significativo riguardante la natura, la finalità o le modalità del trattamento. Tra i mutamenti che rilevano ai fini della revisione della valutazione d'impatto si può sicuramente annoverare l’introduzione di nuove tecnologie. Tali attività di revisione ed aggiornamento sono quindi momenti rilevanti nel processo di valutazione d’impatto, in quanto hanno lo scopo dievitare che eventuali cambiamenti possano incidere negativamente sull’osservanza del regolamento e garantendone così la costante conformità.
Qualora il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. Se, al contrario, la situazione di rischio non sia stata mitigata o il trattamento mostri un rischio ancora elevato, ci si dovrà rivolgere all’autorità di controllo (Garante per la protezione dei dati personali) ed avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.
Office 365 diventa Microsoft 365 automaticamente il 21 aprile 2020 e non è richiesta alcuna azione da parte tua. Ma soprattutto, il prezzo rimane invariato. Questa la mail che Microsoft sta inviando a tutti gli utenti Office 365. L'utente non deve fare nulla, non cambiano le applicazioni ed i software in uso, non cambiano le funzionalità, tutto allo stesso prezzo di sempre. Vai all'approfondimento su Informatore Informatico, se vuoi approfondire. Leggi, se vuoi, anche questo articolo: Soluzioni-per-lo-smart-working-microsoft-teams Se non l'hai già fatto, iscriviti alla newsletter e rimani aggiornato.
Scritto da: Luigi DuraccioAggiornamenti ed informazioni su quello che serve per fare smart working: piattaforme di web conference, software di accesso remoto, strumenti e servizi per condividere file, strumenti di comunicazione, strumenti ed applicazioni per gestire flussi di lavoro (CRM), ecc. Nelle ultime settimane si parla molto di smart working, spesso anche a sproposito, ma, per un utente medio, non sempre è facile capire quali soluzioni adottare o di quali strumenti dotarsi. Sappiamo perfettamente che lo smart working richiede prima di tutto un cambio di paradigma culturale ed organizzativo al quale,...
Scritto da: Luigi DuraccioCriticità e raccomandazioni per utilizzare gli strumenti informatici senza inciampare nei rischi di cyber security o legati alla privacy. Fonte: In4mati Autore: Luigi Duraccio Nella attuale situazione di confinamento, stiamo un po’ tutti scoprendo alcune delle reali possibilità che ci offre la tecnologia. Il c.d. “Smart Working” o lavoro agile è ormai un concetto ampiamente sdoganato. Si trovano riferimenti ovunque, sul web, sui social, in tv: tutti ne parlano sia trattando della soluzione organizzativa che come soluzione tecnologica. Ovviamente si tratta di entrambe...
Scritto da: Luigi DuraccioInformatica, cybercrime e lavoro: le nuove frontiere della sicurezza. Ovvero cosa c’entra la normativa privacy e la protezione dei dati con la sicurezza sui luoghi di lavoro? Si tratta di un aspetto poco considerato, anche e soprattutto dagli stessi lavoratori. Dalla adozione del Testo Unico sulla Sicurezza sul Lavoro, e particolarmente negli ultimi anni, la sensibilità della opinione pubblica sul tema della sicurezza è notevolmente aumentata. E’ vero, anche a seguito fatti di cronaca che riportano di incidenti più o meno...
Scritto da: Luigi DuraccioOramai dovrebbe essere noto a tutti: dal 14 gennaio è terminato il supporto di Microsoft al Sistema Operativo Windows 7. Si tratta di una importantissima novità di cui professionisti, aziende ed organizzazioni non possono non tenere conto per le gravissime conseguenze che porta con se sia dal punto di vista della sicurezza di PC e delle reti, sia dal punto di vista delle implicazioni legali, in primo luogo relativamente alla conformità con il GDPR, la normativa europea sulla protezione dei dati...
Scritto da: Luigi DuraccioIl programma di ispezioni del Garante Privacy è ormai in piena attuazione. Ecco un utile approfondimento per verificare tutti gli aspetti importanti che vengono presi in considerazione durante le visite ispettive per la verifica della conformità e per non farsi trovare impreparati. Come nascono le ispezioni Le ispezioni che il Garante per la Privacy svolge, o tramite il proprio Dipartimento Ispettivo o tramite il Nucleo Speciale della Guardia di Finanza, rientrano all'interno del c.d. piano ispettivo. Sono quindi diretta conseguenza di questo piano oppure nascono da segnalazioni,...
Scritto da: Luigi DuraccioCome scegliere il Responsabile del Trattamento, quali sono le responsabilità del Titolare, come procedere alla nomina. La nomina del Responsabile del Trattamento, ancora oggi, è oggetto di discussione e di diffusa confusione. A tutto ciò hanno contribuito prese di posizione e dichiarazioni, anche pubbliche, di associazioni, ordini e operatori del settore che hanno solo contribuito a generare incertezza e dubbi. https://www.privacyedatisicuri.it/gdpr-e-il-ruolo-del-consulente-del-lavoro Allora proverò a darvi un po' di elementi su cui riflettere. Iniziamo col dire che il GDPR indica in modo preciso vincoli e...
Scritto da: Luigi DuraccioIl numero di telefono di molti personaggi pubblici, e non solo, è disponibile su internet, su un sito accessibile a tutti, semplicemente sottoscrivendo un account a pagamento. Quasi certamente c'è anche il vostro. Da un articolo di Sky TG24 scopriamo che esiste un sito, accessibile a chiunque, con i dati personali di personaggi politici, dello spettacolo, ma anche privati: quasi certamente c'è anche il tuo! Questi dati dovrebbero essere tutelati dalla privacy e non è chiaro come il sito ne sia venuto...
Scritto da: Luigi DuraccioIl Regolamento Privacy introduce l'obbligo di formazione a tutti i livelli: dal titolare del trattamento fino a chiunque abbia accesso ai dati. Chi viola queste prescrizioni rientra nelle sanzioni fino a 10 milioni di euro. Il Regolamento Europeo Privacy 679/16 (Gdpr), agli artt. 29 e 32, prevede l’obbligo della formazione per tutte le figure presenti all'interno di una azienda o organizzazione (titolare, dipendenti, collaboratori). C'è grande confusione in merito all'obbligo di formazione e, soprattutto grande sottovalutazione. Si tratta di un prerequisito senza il quale non è possibile trattare dati...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.