Servizi Privacy UE

Servizio DPIA - Data Protection Impact Assessment

Eseguiamo da remoto, su richiesta, il servizio di  valutazione di impatto sulla protezione dei dati “DPIA” – “Data Protection Impact Assessment” –  un adempimento obbligatorio che consente al Titolare del trattamento  di dimostrare che un determinato trattamento è stato valutato e risulta conforme agli obblighi previsti dal Regolamento europeo in materia di protezione dei dati personali (GDPR).

Actainfo, con l’uso del software di CNIL, raccomandato dal Garante italiano, e attraverso la sua struttura, che rende servizi telematici sul territorio nazionale, offre un servizio rapido e chiavi in mano per la stesura della DPIA.

Ai sensi dell’art. 35 del GDPR, la DPIA rappresenta un processo volto ad analizzare un determinato trattamento in modo da stimare, in una prima fase, in relazione alla probabilità e alla gravità, i rischi per i diritti e le libertà delle persone fisiche e, in una seconda fase, a trattare i rischi, definendo le misure per escluderli o per attenuarli.

L’obbligo della DPIA, riguarda un sempre maggior numero di trattamenti includendo quelli su larga scala e quelli che dal 2018 hanno subito innovazioni tecnologiche della raccolta  e richiedono, quindi, una valutazione d’impatto.

Il Gruppo di lavoro, attuale EDPB,  ha precisato che, in caso di dubbio in ordine alla necessità di procedere o meno con la DPIA, è sempre opportuno realizzarla. Nel caso in cui il titolare decidesse di non realizzarla, è bene che sia in grado di giustificare e documentare le ragioni che lo hanno spinto a prendere questa decisione.

Contenuto e valutazione dei rischi

L’art. 35, al paragrafo 7, prevede che la valutazione contenga, almeno:

“a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento”.

In primo luogo, quindi, trattamento e finalità devono essere descritti in modo completo, coerente, chiaro e non generico.

“b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità”.

Rispetto alle finalità individuate e perseguite, la DPIA richiede una valutazione circa la necessità e la proporzionalità del trattamento. In questa fase dovrebbe essere valutata l’efficacia del trattamento stesso, che deve poter essere ragionevolmente idoneo a perseguire la finalità.

“c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1”.

Questo è, probabilmente, il punto più complesso: identificare e gestire i rischi implica un processo di analisi, stima, valutazione, mitigazione e riesame degli stessi. Processo che dev’essere svolto considerando l’insieme di circostanze particolari del trattamento e l’insieme di dati raccolti e trattati. Inoltre, sono diverse e molteplici le fonti in materia di valutazione dei rischi, così come sono diverse le metodologie (si citano, in particolare, la ISO guide 71:2009; la ISO ISO/IEC 29134:2017 contenente linee guida per il Privacy Impact Assessment e le altre norme internazionali sul risk management ISO 31000:2010 e 27005:2011).

“d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”.

Qualunque sia la metodologia prescelta, la valutazione dei rischi dovrebbe consentire l’individuazione di garanzie, misure di sicurezza e meccanismi per assicurare la protezione dei dati ed il rispetto del GDPR.

gdpr3

Step fondamentali per la valutazione del rischio d'impatto

Vengono acquisite tutte le informazioni utili per l’elaborazione della valutazione di impatto relative a:

  • Standard applicabili al trattamento
  • Dati trattati
  • Ciclo di vita del trattamento dei dati
  • Risorse di supporto ai dati
  • Scopi del trattamento
  • Basi legali che rendono lecito il trattamento
  • Dati raccolti adeguati, pertinenti e limitati
  • Dati esatti e aggiornati
  • Periodo di conservazione dei dati
  • Informazione del trattamento agli interessati
  • Eventuale consenso degli interessati
  • Diritti di accesso e di portabilità dei dati
  • Esercizio del diritto di rettifica e di cancellazione
  • Diritti di limitazione e di opposizione
  • Obblighi dei responsabili del trattamento
  • Eventuale trasferimento di dati al di fuori dell’Unione europea
  • Crittografia
  • Controllo degli accessi fisici
  • Gestione degli incidenti di sicurezza e violazione dei dati personali
  • Procedura cartacea
  • Anonimizzazione
  • Partizionamento
  • Controllo degli accessi logici
  • Tracciabilità
  • Archiviazione
  • Minimizzazione dei dati
  • Vulnerabilità
  • Lotta contro il malware
  • Gestione postazioni
  • Sicurezza siti web
  • Backup
  • Manutenzione
  • Contratto con il responsabile del trattamento
  • Sicurezza dei canali informatici
  • Sicurezza dell’hardware
  • Prevenzione delle fonti di rischio
  • Protezione contro rischi non umani
  • Politica di tutela della privacy
  • Gestione delle politiche di tutela della privacy
  • Gestione dei rischi
  • Integrazione della protezione della privacy nel progetto
  • Gestione del personale
  • Gestione dei terzi che accedono ai dati
  • Vigilanza sulla protezione dei dati
  • Accesso illegittimo ai dati
  • Stima della gravità del rischio e degli impatti potenziali
  • Modifiche indesiderate dei dati
  • Perdita dei dati
  • Mappatura dei rischi
  • Piano d’azione
  • Panoramica dei rischi

Sanzioni

In caso di inosservanza delle disposizioni dell’articolo 35 (sulla valutazione d’impatto) e dell’articolo 36 (sull’istituto della consultazione preventiva, da attuare nel caso in cui dalla DPIA si evinca un rischio elevato in assenza di misure idonee ad attenuarlo), il titolare rischia sanzioni amministrative pecuniarie fino a 10.000.000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. In diverse occasioni l’Autorità Garante ha già sanzionato per la violazione delle norme relative alla DPIA.

L’ultima ordinanza di ingiunzione comminata dal Garante, con particolare riferimento alla violazione dell’art. 35, riguarda l’Azienda ospedaliera di Perugia (provv. n. 134 del 7 aprile 2022). L’Azienda ospedaliera, mediante l’applicativo per il whistleblowing ha operato un trattamento in assenza di una preliminare valutazione d’impatto sulla protezione dei dati. L’Autorità ha specificato che “tenuto conto delle indicazioni fornite anche a livello europeo, il trattamento dei dati personali mediante i sistemi di acquisizione gestione delle segnalazioni presenta rischi specifici per i diritti e le libertà degli interessati, considerata anche la particolare delicatezza delle informazioni potenzialmente trattate, la “vulnerabilità” degli interessati nel contesto lavorativo, nonché lo specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore”. La carenza della valutazione d’impatto non ha consentito all’organizzazione di individuare misure specifiche per attenuare i rischi derivanti dal trattamento, pertanto il Garante ha comminato una sanzione di importo complessivo pari a 40.000 euro. 

  • In questo caso, è importante evidenziare il fatto che la non conformità si sia verificata a monte: il titolare del trattamento non ha saputo individuare l’esigenza stessa della DPIA. Una valutazione dei rischi, infatti, avrebbe consentito all’organizzazione di soppesare gli elevati rischi, in termini di possibili effetti ritorsivi e discriminatori, anche indiretti, per il segnalante (la cui identità è protetta da uno specifico regime di garanzia e riservatezza, previsto dalla normativa in materia di whistleblowing) e di determinare chiaramente l’esigenza della valutazione d’impatto.  

Il 13 gennaio 2022 il Garante ha sanzionato l’Azienda sanitaria unica regionale Marche per un importo pari a complessivi 14.000 euro, per violazione dei principi di integrità e riservatezza, degli obblighi del titolare del trattamento in materia di sicurezza del trattamento e di valutazione d’impatto sulla protezione dei dati (provv. n. 9 del 13 gennaio 2022). L’istruttoria è partita da una notizia stampa che evidenziava una vulnerabilità nel sistema di acquisizione e gestione dei dati dello screening del Covid-19: a causa dell’errata configurazione dell’APP “Smart4You” chiunque poteva facilmente accedere al profilo sanitario di un’altra persona. 

  • In questo caso, il titolare, seppur consapevole degli obblighi previsti dal GDPR, ha considerato l’attività svolta come una semplice integrazione tra prenotazione e refertazione (servizi preesistenti). Se il titolare avesse riconosciuto il trattamento come distinto rispetto alle altre finalità perseguite, avrebbe potuto condurre una valutazione dei rischi sullo stesso, riconoscendo l’effettiva necessità di DPIA.   

Un altro provvedimento interessante è sicuramente l’ordinanza di ingiunzione dei confronti dell’Università Commerciale “Luigi Bocconi” di Milano (n. 317 del 16 settembre 2021). Diverse violazioni sono state rilevate in relazione all’impiego di un sistema di supervisione (proctoring) nell’ambito dello svolgimento delle prove scritte d’esame degli studenti, al fine di identificare questi ultimi e/o di verificarne il corretto comportamento durante lo svolgimento della prova d’esame. 

  • In questo caso, il titolare ha condotto una DPIA sul sistema. Tuttavia il Garante, dall’esame della documentazione, ha rilevato che, la valutazione di impatto, “non è stata condotta in maniera del tutto adeguata, limitandosi a illustrare le caratteristiche del sistema di supervisione utilizzato, rappresentandolo come conforme al quadro normativo in materia di protezione dei dati, senza però una puntuale valutazione “della necessità e proporzionalità dei trattamenti in relazione alla finalità” e “dei rischi per i diritti e le libertà degli interessati” (art. 35, par. 7, lett. b) e c))”. In particolare, l’Autorità ha rilevato i seguenti aspetti come non conformi: 
  • I giudizi di adeguatezza estremamente sintetici, privi di idonea motivazione;
  • La mancata individuazione, in relazione a taluni profili, di appropriate misure “per affrontare i rischi” e per attenuare gli stessi, oppure la presenza di misure “inconferenti per la mitigazione del rischio”;
  • La mancata puntuale valutazione in merito all’adeguatezza, alla pertinenza e alla proporzionalità di ciascuna categoria di dati oggetto di trattamento;
  • La mancata effettiva valutazione circa le possibili ripercussioni per gli interessati in caso di errori o falsi positivi/negativi generati dallo strumento di supervisione; 
  • In generale, la presenza nella DPIA di dichiarazioni superficiali (ad es. “non si potrebbe determinare discriminazione alcuna”) non sostenute da argomentazioni a sostegno (quale una previa valutazione sull’affidabilità degli algoritmi utilizzati dal sistema di supervisione). 

Privacy UE GDPR

Servizi Privacy UE

Software gestione – Supporto – Servizio DPO-RPD

MAGGIORI INFO

Contattaci per qualsiasi informazione

Contattaci

Per maggiori informazioni contattaci compilando questo modulo. Ti ricontatteremo quanto prima possibile.

Informativa Privacy art. 13 GDPR UE 2016/679

Actainfo

Via Nazionale 39, 64026 Roseto degli Abruzzi (TE)

Transizione Digitale – ICT – PNRR – Servizi digitali CLOUD – Privacy GDPR Servizi WEB e Portali – Partner Aruba PEC – Conservazione digitale Formazione specialistica on line – FAD – Marketing e comunicazione – Servizi Qualificati Marketplace AGID – Abilitazioni MEPA 2009 e 2017

Facebook-f Twitter Telegram-plane
  • Telefono: +39 085 2194581
  • Telefono: +39 085 2015591
  • Email: info@actainfo.it
  • PEC: info@actapec.it
  • P.IVA: 01901750677