La Valutazione d’Impatto sulla protezione dei dati (DPIA): come si fa?

La Valutazione d’Impatto sulla protezione dei dati (DPIA): come si fa?
Il Regolamento (UE) 2016/679 (“GDPR”) all’articolo 35 prevede, a carico del Titolare del trattamento, l’obbligo di predisporre una valutazione d’impatto preventiva sulla protezione dei dati personali (Data Protection Impact Assessment, di seguito, “DPIA”) ogni qualvolta un trattamento, allorché preveda l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

La valutazione d’impatto rappresenta un processo di rilevanza strategica che ciascun titolare del trattamento deve implementare, nei casi e nei modi previsti dal GDPR, al fine di dimostrare il proprio adempimento alla normativa vigente in materia di protezione dei dati personali.

Ma come si fa la DPIA? Quali sono gli adempimenti richiesti per la sua corretta esecuzione? Quali elementi devono essere presi in considerazione nell’ambito dello svolgimento di tale valutazione preliminare sulla protezione dei dati?

La DPIA come espressione del principio di accountability

Preliminarmente bisogna ricordare che, sulla base del principio di accountability del titolare del trattamento – previsto dall’art. 5, par. 2 e dal Considerando 74 GDPR –, quest’ultimo è direttamente responsabile per le attività di trattamento effettuate (anche tramite soggetti terzi all’uopo nominati responsabili del trattamento ai sensi dell’art. 28 GDPR), ed è pertanto tenuto a valutare costantemente tutti i rischi sottesi a tali trattamenti e a predisporre misure di sicurezza adeguate a mitigare tali rischi.

Quando è necessario svolgere una DPIA?

L’art. 35 GDPR, al comma 3, contempla una serie di casi al verificarsi dei quali è necessario che il titolare del trattamento esegua una DPIA, mentre il Considerando 75 fornisce una descrizione dei casi nei quali vi è un elevato rischio per la sicurezza dei diritti e le libertà delle persone fisiche i cui dati rischiano di essere gravemente compromessi. A ciò si aggiunga il provvedimento n. 467 dell’11 ottobre 2018 dell’Autorità Garante per la Protezione dei Dati Personali italiana (di seguito il “Garante Privacy”), il quale presenta un elenco dettagliato di quei trattamenti per i quali si richiede l’esecuzione della valutazione d’impatto

L’accountability del titolare nella scelta del metodo

Le Linee Guida WP248-rev. 01, adottate dal WP29 il 4 ottobre 2017, le quali hanno fissato dei criteri esecutivi e hanno riconosciuto, anche in capo ai produttori di hardware e software informatici, l’obbligo di effettuare la DPIA senza, però, limitare in alcun modo la responsabilità dei titolari del trattamento. Quest’ultimi rimangono comunque obbligati, nel caso in cui volessero utilizzare tali prodotti, ad effettuare una propria valutazione d’impatto, ma avvalendosi delle informazioni contenute nel precedente lavoro di analisi svolto da chi ha progettato e costruito il prodotto.

È bene evidenziare che il GDPR non fissa delle specifiche regole metodologiche per l’esecuzione della valutazione d’impatto: riconosce al titolare del trattamento la possibilità di ricorrere a diverse metodologie e/o tool di esecuzione. Ciò è, però, consentito sempre el rispetto dei limiti e dei criteri sanciti nell’Allegato 2 delle Linee Guida WP248.

Come effettuare la DPIA?

1. La descrizione sistematica del trattamento

Il titolare del trattamento è chiamato, in primis, ad effettuare una descrizione sistematica del trattamento volta a definire la natura, l’ambito di applicazione, il contesto e le finalità del trattamento (a titolo esemplificativo, il titolare dovrà chiedersi: che tipo di dati personali vengono trattati? Quali sono i destinatari dei dati? Che periodo di conservazione è previsto per tali informazioni? I dati verranno trattati con strumenti informatici? Etc.)

2. Valutazione sulla necessità e proporzionalità del trattamento

Una volta definito il perimetro del trattamento, sarà necessario effettuare una valutazione sulla necessità e proporzionalità del trattamento al fine di verificare se siano state effettivamente determinate misure adeguate ad affrontare i rischi elevati connessi al trattamento.

In particolare, il titolare dovrà valutare analiticamente le misure che contribuiscono rendere proporzionato e necessario il trattamento e le misure che contribuiscono alla corretta gestione dei diritti degli interessati.

3. Valutazione delle misure previste per la gestione dei rischi per i diritti e le libertà degli interessati

Questa fase rappresenta il passaggio più complicato e delicato della valutazione d’impatto in quanto richiede che siano definiti, per ogni singolo rischio legato al trattamento: l’origine, la natura, la particolarità e la gravità dei rischi del trattamento, i quali possono consistere nella perdita di riservatezza, della integrità e della disponibilità dei dati.

In dettaglio, il titolare dovrà: i) individuare correttamente le fonti di rischio; ii) identificare e valutare l’impatto potenziale per i diritti e le libertà degli interessati nel caso in cui si dovessero realizzare eventi che comportano un accesso illegittimo ai dati, una loro modificazione e/o la loro cancellazione; iii) definire possibili minacce che potrebbero comportare i rischi di cui al punto precedente; iv) valutare l’entità del rischio attraverso un procedimento di “calcolo” che combina l’impatto potenziale per i diritti e le libertà del interessati e le probabilità che tali eventi rischiosi si realizzino; v) definire le misure adeguare per la corretta gestione di tali rischi.

3.1 Il calcolo del rischio e la determinazione delle adeguate misure di mitigazione

L’impatto sui diritti e libertà degli interessati e la probabilità di realizzazione delle possibili minacce devono essere valutati sulla base di una scala di valori che rappresenti, rispettivamente, i diversi livelli di impatto a gravità crescenti (basso, medio, alto, altissimo) e di probabilità del loro verificarsi (improbabile, poco probabile, probabile, altamente probabile) corrispondenti ad una specifica tassonomia di danni/probabilità.

Nel tentativo di aiutare i titolari del trattamento nello svolgimento di queste valutazioni, sono stati elaborati degli specifici “tools” di calcolo (come lo strumento per il calcolo del rischio elaborato dall’ENISA). Delle tassonomie utili sono state anche pubblicate negli “Annex” di alcuni standards internazionali (ad esempio, nella ISO 29134:2017).

I valori ottenuti dalle valutazioni di cui ai punti ii) e iii) devono successivamente essere combinati tramite l’utilizzo di una specifica matrice (per l’appunto, la matrice del rischio) prevista dallo standard EN ISO 12100:2010.

Se, all’esito di tale ultima valutazione, il livello di rischio risulti elevato, è necessario che il titolare preveda e adotti delle misure di sicurezza, tecniche ed organizzative adeguate ad abbattere sia l’impatto (e dunque la gravità) che a probabilità del verificarsi delle minacce. La corretta individuazione di tali misure consiste in un’attività di analisi molto delicata e complessa. Per tali motivi è fortemente raccomandato il ricorso a specifici standard internazionali come la ISO 27001:2022.

4. La valutazione finale

Una volta individuate le misure di sicurezza, tecniche ed organizzative volte a mitigare il rischio di sicurezza, il titolare dovrà effettuare un’ulteriore valutazione finalizzata a verificare il cd. “rischio residuo” del trattamento il quale potrà avere inizio solo nel caso in cui abbia raggiunto un valore “accettabile”. Diversamente, qualora il rischio residuo dovesse risultare ancora elevato, il titolare non potrà avviare il trattamento, ma potrà, eventualmente, consultare il Garante Privacy trasmettendo copia della DPIA all’Autorità.

Il ruolo del DPO

Terminato il processo di valutazione d’impatto, il titolare del trattamento dovrà consultarsi con il proprio DPO, qualora nominato, che emanerà il proprio parere sulla DPIA e, se del caso, richiedere le opinioni degli interessati e dei loro rappresentanti.

Data la complessità delle attività appena descritte ,è bene affidarsi sempre a professionisti seri e qualificati al fine di garantire il corretto svolgimento della valutazione d’impatto e, dunque, essere privacy compliant.

Avv. Simona Lanna

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori