Abbiamo detto che la valutazione d'impatto è una scelta che in alcuni casi è facoltativa in altri obbligatoria: infatti, non va condotta per tutti i trattamenti, ma solo per quelli che per la loro natura, finalità, oggetto oppure per gli strumenti o tecnologie utilizzate, possono esporre i dati degli interessati rischi elevati.
Andiamo a vedere ora quali sono, in concreto, le attività che sarà necessario svolgere.
Per ciascun trattamento, per capire se presentano un rischio elevato e quindi dovranno essere inseriti all'interno della DPIA, si dovranno raccogliere le seguenti informazioni:
quali sono i soggetti interessati a cui si riferiscono i dati ed il periodo di conservazione dei dati.
quali sono le categorie di dati oggetto di trattamento (se sono personali e/o sensibili)
quali sono le finalità; devono essere finalità determinate, esplicite e legittime (ad esempio comunicazioni commerciali o marketing, oppure adempimento degli obblighi fiscali o di legge, ecc)
qual'è il contesto del trattamento (incluse le fonti da cui i dati vengono raccolti, se sono coinvolte parti terze nel trattamento e se siano all’interno o al di fuori del territorio europeo, e così via)
qual'è la natura del trattamento
una descrizione delle operazioni di trattamento (raccolta, analisi, trasferimento, tipi di utilizzo, ecc)
le modalità (cartacee e/o informatizzate) e gli strumenti con cui viene effettuato il trattamento (quali hardware o software), e l’indicazione dei canali (rete fisica o virtuale) attraverso cui vengono trasferiti i dati
i flussi informativi (ad esempio comunicazione, diffusione, cessione o trasferimento dei dati)
i soggetti destinatari dei dati e se siano interni o esterni all’organizzazione del titolare del trattamento e che accederanno a tali dati con indicazione dei motivi e delle finalità per cui ricevono tali dati
Questa valutazione risponde ad una precisa disposizione del Regolamento. Per il titolare del trattamento si tratterà di verificare che il trattamento oggetto di valutazione sia necessario allo scopo per cui inizia (cioè senza tali dati non è possibile procedere con determinate attività della organizzazione) e proporzionale.
Andranno quindi verificate le misure sicurezza, le garanzie per gli interessati ed a protezione dei dati. Tali meccanismi vanno enunciati anche a dimostrazione della conformità al Regolamento.
Nel dettaglio cosa andrà descritto?
Riguardo alla liceità del trattamento, quindi alla necessità e proporzionalità:
a) l’indicazione di quali sono le finalità. Queste devono essere determinate, esplicite e legittime;
b) l’impiego di dati adeguati, pertinenti e limitati (solo quelli che servono o che sono necessari) rispetto alle finalità e le modalità con cui il titolare assicura l’accuratezza dei dati (controllo che siano corretti, completi e riferiti all'interessato);
c) la limitazione della conservazione ad un arco di tempo non superiore al conseguimento delle finalità: quando non servono più andranno eliminati in modo sicuro;
d) il presupposto di legittimità del trattamento (es: il consenso prestato dall'interessato, un obbligo legale/fiscale, legittimo interesse del titolare e così via);
Riguardo le condizioni e le misure che assicurano il corretto esercizio dei diritti degli interessati
a) ai soggetti interessati devono essere fornite informazioni chiare, complete e comprensibili riguardo il trattamento dei loro dati; in particolare andranno indicati i soggetti a cui possono rivolgersi per ottenere ulteriori informazioni e per esercitare i propri diritti (accesso ai dati, rettifica, aggiornamento, opposizione, cancellazione, portabilità, diritto all'oblio);
b) quali sono le procedure messe a punto per garantire il diritto e l’effettiva possibilità di esercitarlo: richiedere l'accesso, la rettifica, la cancellazione, l’aggiornamento, la portabilità dei dati, nonché l’opposizione e la limitazione del trattamento;
c) quali sono le garanzie che legittimano il trasferimento di dati verso un Paese terzo extra-europeo (decisioni di adeguatezza, clausole contrattuali, e così via).
a) le garanzie (es: descrizione delle tecniche di pseudonimizzazione e di cifratura, minimizzazione, implementazione della privacy by design e by default, previsione di procedure volte verificare e valutare l’efficacia delle misure adottate);
b) misure di sicurezza organizzative (es: descrizione delle norme e delle procedure che regolano l'organizzazione della sicurezza);
c) misure di sicurezze fisiche di protezione delle aree delle apparecchiature, pc, server, db ed altro, dei dati;
d) misure di sicurezza logiche (es: backup, piano di disaster recovery, piani di continuità operativa, ecc.) sia che riguardino il corretto utilizzo degli strumenti elettronici, che la loro corretta gestione e manutenzione;
e) adozione, se prevista, di codici di condotta e/o meccanismi di certificazione.
In questo caso non si tratta di un obbligo. Tuttavia appare opportuno prevedere una fase di consultazione con tutte le parti interessate ai trattamenti, non solo all'interno della organizzazione del titolare del trattamento, ma anche all'esterno con il coinvolgimento sia degli interessati (o loro rappresentanti) che con le altre organizzazioni o terze parti con le quali i dati vengono condivisi. Si pensi allo studio che gestische i cedolini paghe, il medico del lavoro, ecc. Lo scopo è di garantire una visione complessiva condivisa nei metodi, per garantire la massima trasparenza.
La consultazione può essere svolta con le modalità che il titolare del trattamento ritiene opportune. Ad esempio somministrazione di questionari, incontri o sessioni.
A questo punto, avendo raccolto tutta la documentazione necessaria ed avendo condiviso metodi e procedure, sarà possibile procedere alla identificazione dei rischi. Si tratterà di fare una analisi del ciclo di vita dei dati in considerazione dell'impiego dei dati stessi, le finalità per cui sono stati raccolti e per cui vengono utilizzati, le tecnologie utilizzate per il trattamento e per la loro protezione ed i soggetti che sono autorizzati a trattarli (titolare, responsabile ed incaricato al trattamento).
Per prima cosa andranno ricercate le possibili fonti di rischio. In relazione ai comportamenti degli operatori interni alla organizzazione e/o di terze parti (responsabili ed incaricati del trattamento) verificare la possibilità o probabilità di sottrazione delle credenziali, distrazione, comportamenti fraudolenti o sleali. In relazione poi agli strumenti, hardware e software utilizzati, verificare la possibilità o probabilità di violazioni o infezioni (es. virus, malfunzionamenti, guasti,intercettazioni di flussi di dati, accessi non autorizzai dall'interno o dall'esterno della organizzazione, e tutti gli eventi che comportino vilazioni, alterazioni, perdita o distruzione dei dati). In relazione al contesto in cui si opera (infrastruttura, logistica della organizzazione, ecc) verificare la possibilità o probabilità che possano avvenire sottrazione/furto degli strumenti che contengono dati, eventi naturali o provocati dall'uomo che possano determinare la distruzione degli strumenti che contengono dati.
In secondo luogo, in relazione alla probabilità con cui tali eventi si potrebbero verificare, andrà valutato l'impatto che potrebbero avere sui dati e riguardo ai diritti degli interessati, assegnando a ciascun rischio un grado di probabilità e di impatto (es. nessuno, lieve, medio, alto, grave, gravissimo).
Infine, identificati i rischi e gli impatti possibili, occorre prevedere procedure per la gestione dei rischi stessi e scegliere se un determinato rischio debba essere eliminato, mitigato oppure accettato in relazione alla probabilità che si possa verificare ed in realzione al grado di impatto. Sempre in relazione alla analisi effettuata, laddove risulti opportuno, sarà necessario prevedere un piano di ammodernamento degli strumenti e delle misure di sicurezza tenendo conto sia della evoluzione tecnologica, sie della evoluzione dei rischi ed in relazione ad eventuali situazioni di rischi che possono emergere nel corso del tempo.
Al termine della valutazione d'impatto, verrà redatto un report finale.
Dovrà contenere la descrizione delle attività svolte, la descrizione di tutte le informazioni raccolte nelle attività di cui abbiamo detto nei precedenti punti, descrizione sistematica anche delle misure e delle procedure relative ai rimedi previsti e da implementare a contrasto dei rischi che sono emersi in fase di analisi.
Oltre alle informazioni raccolte nelle precedenti fasi, alla verifica che i principi fondamentali di trattamento siano stati rispettati, che il trattamento sia legittimo e che siano state valutate garanzie e misure adeguate (cioè al privacy assessment ), attraverso l’identificazione, l’analisi e la gestione dei rischi, il report dovrà indicare:
1. l’organizzazione, il progetto o l'attività per cui si è proceduto con la valutazione d’impatto;
2. i soggetti che hanno svolto la valutazione d’impatto ed i dati di contatto di un referente nominato;
3. i soggetti che sono, eventualmente, stati consultati con indicazione dell’esito di tali consultazioni;
4. le misure e i rimedi per mitigare i rischi individuati.
Tuttavia non si può ritenere concluso il processo di valutazione d’impatto con la redazione del report finale. A norma del Regolamento il report non è obbligatorio ma "il Gruppo di lavoro Art. 29 raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni".
La valutazione d’impatto infatti rappresenta un “processo continuo” da riesaminare periodicamente o quando dovesse rilevarsi un cambiamento significativo riguardante la natura, la finalità o le modalità del trattamento. Tra i mutamenti che rilevano ai fini della revisione della valutazione d'impatto si può sicuramente annoverare l’introduzione di nuove tecnologie. Tali attività di revisione ed aggiornamento sono quindi momenti rilevanti nel processo di valutazione d’impatto, in quanto hanno lo scopo dievitare che eventuali cambiamenti possano incidere negativamente sull’osservanza del regolamento e garantendone così la costante conformità.
Qualora il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. Se, al contrario, la situazione di rischio non sia stata mitigata o il trattamento mostri un rischio ancora elevato, ci si dovrà rivolgere all’autorità di controllo (Garante per la protezione dei dati personali) ed avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.
La predisposizione del manuale della conservazione, la nomina del responsabile della conservazione e del procedimento di conservazione, l’adeguamento ai fini privacy: ecco tutti gli adempimenti di cui nessuno ti ha mai parlato. Il prossimo 10 marzo scadono i termini per la conservazione digitale a norma delle fatture elettroniche del 2019. La scadenza coincide con i tre mesi dal termine per l’invio della dichiarazione dei redditi 2020 che, per effetto della proroga prevista dal decreto Ristori quater, poteva essere trasmessa fino al 10 dicembre scorso. Il nostro...
Scritto da: Luigi DuraccioIl datore di lavoro non può conoscere i dati relativi alle vaccinazioni. Intervento del Garante privacy. Acquisire i dati relativi alle vaccinazioni dei dipendenti non è consentito dalla disciplina in materia di tutela della salute e sicurezza nei luoghi di lavoro né dalle disposizioni sull’emergenza sanitaria. A questi comportamenti, incidendo su diritti fondamentali dell’individuo, è necessario applicare a particolari attenzioni. Negli ultimi giorni si sono aggiunti interventi chiarificatori del Garante per la protezione dei dati personali in relazione alla normativa sulla privacy. Il Garante...
Scritto da: Luigi DuraccioCarte di credito e ricaricabili sempre di più nel mirino degli hacker. Sono molte le truffe online in grado di svuotare i conti correnti e le prepagate. Non ci sono quasi più errori di sintassi o di grammatica, l’italiano è molto più scorrevole e questo si traduce in una maggiore difficoltà di accorgersi della truffa e quindi maggiori pericoli per gli utenti possessori di carte, soprattutto prepagate. Tra le più gettonate ci sono le truffe che hanno ad oggetto le carte prepagate...
Scritto da: Luigi DuraccioI ransomware sono virus informatici che rendono inaccessibili i dati dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli. Vediamo come è fatto ed un metodo innovativo per proteggersi. Quando un sistema informatico viene attaccato da un ransomware e i file contenuti vengono crittografati significa che il virus ha già superato tutte le difese. Oltre a questo molti malfattori che li programmano non si accontentano e non si fermano dopo aver sfondato le barriere di protezione di un solo PC: non è...
Scritto da: Luigi DuraccioCrimine informatico, solo il Covid sta facendo più danni. Il quadro del 2020. Quando un sistema informatico viene attaccato e le difese informatiche di un’azienda vengono superate, l’hacker paralizza il sistema informativo e preleva dati, contratti, accordi, informazioni segrete e rilevanti, informazioni personali. L’attacco, di solito, parte di notte, spesso di sabato, e la mattina, quando apri il computer, è già troppo tardi: file contenuti nei PC, nei server, nei backup, vengono crittografati e non sono più utilizzabili. A questo punto viene chiesto di pagare...
Scritto da: Luigi DuraccioAffidarci alle solite misure o sperare nelle competenze degli utenti equivale ad un suicidio. Il modello “security-as-a-service” nei processi di security integrata. A causa, o grazie alla pandemia, ora l’ufficio può essere ovunque e senza vincoli e le aziende si ritrovano sempre meno vincolate alle tradizionali infrastrutture di rete e a un ufficio fisico. L’adozione di massa e “frettolosa” del lavoro da remoto ha fatto emergere, tuttavia, in tema di sicurezza informatica e difesa dal cybercrime, tutte le criticità di una mal-gestione [o nessuna...
Scritto da: Luigi DuraccioIn un quadro di cambiamento del Paese diventa irrinunciabile, per le aziende, investire sulla “formazione” del personale attraverso enti o società di formazione che portano i loro saperi direttamente all’interno. Il virus ci impone di cambiare e per questo dobbiamo rimboccarci le maniche e costruire un nuovo modo di vivere e di produrre. Dobbiamo agire subito senza aspettare la fine della crisi. La tecnologia ci sarà di aiuto nel cambiamento e dovrà essere impiegata di più nelle aziende. Perché questo avvenga occorre modificare la...
Scritto da: Luigi DuraccioPare che EcoCare, un sito fatto sviluppare dal Parlamento Europeo, non rispetti la stringente normativa europea prevista per la tutela dei dati personali. Se anche i “regolatori” hanno difficoltà ad osservare le norme scritte da loro stessi vuol dire che c’è un problema nell’affrontare una norma con troppa leggerezza. La norma impone un’autovalutazione che spesso necessita dell’insostituibile consulenza di esperti in più settori. Guarda il video sull’argomento pubblicato dall’Avvocato Stefano Nardini che ha affrontato questo caso particolare sul suo canale YouTube.
Scritto da: Luigi DuraccioIl 31 gennaio scade un termine importante del punto di vista fiscale: la conservazione digitale a norma delle fatture elettroniche. In realtà il termine è slittato al 10 marzo a seguito della proroga disposta dal decreto ristori alla presentazione della dichiarazione dei redditi. Questo perchè il termine per la conservazione delle fatture si calcola proprio a partire da quello per la presentazione della dichiarazione dei redditi. Occorre avere le idee chiare per poter adempiere a quanto richiesto dalla normativa. Le norme...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.