Logo Tom's Hardware

GDPR, come si può realizzare un'autovalutazione efficace dei rischi

Avatar di Studio Legale Associato Fioriglio-Croari

a cura di Studio Legale Associato Fioriglio-Croari

Studio Legale Associato Fioriglio-Croari

Nei casi in cui un trattamento dei dati personali presenti un rischio probabile ed elevato di causare dei pregiudizi ai diritti e alle libertà degli interessati (ad esempio perché viene posto in essere un controllo di tipo sistematico, per l'elevato numero di soggetti coinvolti o per la natura sensibile dei dati personali trattati), il GDPR stabilisce che i titolari del trattamento debbano realizzare in via preventiva una apposita valutazione dei rischi.

Inoltre, è previsto il coinvolgimento dell'Autorità di controllo (quindi del Garante della privacy) qualora le misure tecniche e organizzative individuate al fine di minimizzare l'impatto del trattamento sulla tutela dei diritti e delle libertà degli interessati non vengano ritenute sufficienti: quando il titolare ritenga che, nonostante le valutazioni effettuate e l'individuazione di misure di sicurezza, resti comunque presente un apprezzabile rischio per i diritti e le libertà degli interessati.

Quello della valutazione dei rischi si configura, d'altra parte, come una delle novità più importanti nel quadro del nuovo Regolamento europeo, in quanto esprime l'intento delle istituzioni europee di ottenere una maggiore responsabilizzazione (accountability) dei titolari verso le attività di trattamento dei dati dagli stessi poste in essere.

Infatti, i titolari del trattamento non solo sono tenuti ad osservare le disposizioni del GDPR, ma devono anche essere in grado di dimostrare compiutamente la propria compliance, tanto all'Autorità di controllo quanto ai singoli interessati. Uno dei principali modi per dare tale prova è proprio attraverso una completa e corretta valutazione dei rischi a cui ciascun trattamento dà luogo.

Come precisato dalla Linee Guida emanate al riguardo, la valutazione d'impatto sulla protezione dei dati identifica "un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli".

Di conseguenza, la valutazione d'impatto sulla protezione dei dati è uno strumento importante per la responsabilizzazione in quanto, da un lato, incoraggia i titolari del trattamento a rispettare gli obblighi sanciti dal GDPR, e, dall'altro lato, è un mezzo che consente loro di giustificare la scelta delle specifiche misure adottate, potendone così dimostrare l'idoneità per garantire il rispetto del Regolamento.

5 3 in
Foto: Rawpixel / Depositphotos

Al fine di realizzare una valutazione del rischio efficace e sufficientemente completa, il titolare che vi procede si dovrà attenere ai seguenti punti:

  1. dovrà essere fornita una descrizione sistematica del trattamento dei dati, questa dovrà comprendere, in particolare:
  • natura, ambito di applicazione, contesto e finalità del trattamento;
  • i dati personali che vengono registrati, i destinatari ed il periodo di conservazione;
  • una descrizione funzionale del trattamento che viene posto in essere;
  • le risorse utilizzate (hardware, software, supporto cartaceo);
  • il rispetto di codici di condotta eventualmente approvati;
  1. dovrà dimostrare la liceità del trattamento, e dunque la sua necessità e proporzionalità, come prevede l'art. 35, par. 7, lett. b), e in particolare se sono state adottate (e quali) le misure previste per garantire il rispetto del Regolamento. Più precisamente, si dovranno indicare specificamente:
  • misure che consentono di garantire la necessità e proporzionalità del trattamento dei dati personali in relazione, ad esempio, alle finalità, alla liceità del trattamento e all'adeguatezza dei dati raccolti che devono essere pertinenti e limitati a quanto necessario;
  • i presupposti della legittimità del trattamento dei dati (come il consenso dell'interessato, la presenza di un obbligo legale o di contratto o ancora di un legittimo interesse del titolare);
  • le misure che consentono di realizzare una limitazione della conservazione dei dati ad un arco di tempo strettamente connesso al raggiungimento delle finalità prestabilite;
  • le misure che contribuiscono a garantire i diritti degli interessati, quali l'informativa che deve essergli resa in via preliminare e tutte le informazioni utili circa i diritti che ad esso sono riconosciuti (come il diritto di accesso, il diritto alla portabilità dei dati, il diritto di rettifica e di cancellazione, il diritto di opposizione e di limitazione del trattamento), nonché, in caso di trasferimento dei dati all'estero, l'insieme di garanzie che legittimano tale trasferimento;
  1. dovrà indicare come i rischi per i diritti e le libertà degli interessati vengono gestiti, ai sensi dell'art. 35, par. 7, lett. c), specificando:
  • l'origine, la natura e la gravità per ciascun rischio (ad esempio, l'accesso illegittimo, la modifica indesiderata e la scomparsa dei dati), tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone coinvolte;
  1. dovranno essere indicate le misure di sicurezza che si intende adottare a garanzia della protezione dei dati personali, quali, ad esempio:
  • tecniche di pseudonimizzazione e cifratura;
  • tecniche di minimizzazione dei dati utilizzati e strumenti che garantiscano la privacy "by design" e "by default";
  • sistemi che consentano di verificare l'efficacia delle garanzie poste in essere (ad esempio, penetretion test);
  • misure di sicurezza di tipo organizzativo e di tipo fisico (come, ad esempio, misure che garantiscano la protezione di determinate aree, strumentazioni o dati fisicamente posti all'interno dell'azienda);
  • la predisposizione di sistemi di ripristino e recupero dei dati (anche attraverso la previsione di piani di backup);
  • l'adozione di codici di condotta o di altri meccanismi di certificazione.
  1. infine, dovrà essere dato conto anche del coinvolgimento delle parti interessate nello svolgimento della valutazione d'impatto sulla protezione dei dati. Più nello specifico, come previsto dall'art. 35, par. 2, il titolare del trattamento dovrà consultare il responsabile del trattamento (sempre che sia stato designato) e, se opportuno, potrà anche raccogliere direttamente l'opinione degli interessati o dei loro rappresentanti.

Puoi trovare tutte le news sul GDPR in questa pagina speciale.

Per ricevere assistenza consulta il sito fclex.it

Leggi altri articoli