[GUIDA] Valutazione del trattamento - Come e quando farla secondo il GDPR

Il nuovo Regolamento Europeo sulla protezione dei dati è pienamente efficace a partire da Maggio 2018 e prevede, fra i vari adempimenti previsti in capo ai titolari del trattamento, la necessità di effettuare una valutazione sui trattamenti di dati personali svolti.

In questo articolo comprenderemo alcuni aspetti fondamentali per mettere in pratica un modello di valutazione di impatto secondo i criteri richiesti dal GDPR.‍

Come stabilire se il rischio è elevato

Il Regolamento chiede ai titolari del trattamento di dati personali di effettuare tale valutazione per quelli che presentano un rischio elevato per gli interessati, ma come lo stabilisco? Li valuto tutti.

1. Effettuo inizialmente una valutazione generale dei rischi per tutti i trattamenti svolti
2. Se il rischio risulta alto andrà redatta la valutazione d'impatto privacy (DPIA) secondo l’art.35 del regolamento
3. Se il rischio rimane alto anche a seguito dell’applicazione delle misure di sicurezza andrà consultata l’autorità di controllo in base all’art.36 del regolamento.

Procedere con una valutazione generale per tutti i trattamenti consente di produrre inizialmente un documento di valutazione dei rischi e successivamente aiuta a definire le misure adeguate per ridurli e a differenziare i trattamenti in base al livello di rischio rilevato.

Effettuarla, indipendentemente dagli obblighi imposti ha molteplici effetti benefici sull’intera organizzazione‍

Come precisato nelle linee guida sull’argomento, il fatto che non sia sempre obbligatorio svolgere una valutazione d’impatto sul trattamento non giustifica, da parte del titolare, la mancata attuazione delle misure idonee al fine di valutare e prevenire adeguatamente i rischi per i diritti e le libertà degli interessati che potrebbero derivare dal trattare i dati a loro riferiti.

Il calcolo del rischio sul trattamento è diviso in 4 fasi

1. Definizione del singolo trattamento
2. Comprensione del livello di impatto sugli interessati
3. Valutazione del rischio e probabilità di accadimento di una minaccia
4. Calcolo del rischio generale sul trattamento

Dopo aver calcolato il valore di rischio e applicato le misure di sicurezza individuate per ridurlo, il titolare è in grado di distinguere quali sono i trattamenti da tenere maggiormente in considerazione per la conduzione della DPIA in base all’art. 35 del regolamento.

Cos’è la DPIA e perché è importante?

Acronimo di Data Protection Impact Assestment, la DPIA, come indicato dalla linee guida del European Data Protection Board (gruppo di lavoro dei garanti Europei) è definita nei seguenti termini:

Un processo inteso a descrivere il trattamento effettuato, valutarne la necessità e la proporzionalità, contribuire a gestire i rischi per i diritti e libertà delle persone fisiche valutandoli e determinando le misure per affrontarli

Allo stesso tempo si pone come uno strumento fondamentale e necessario per il rispetto del principio di accountability.

Da un lato stimola a rispettare gli obblighi del regolamento, aiutando il titolare a prendere consapevolezza rispetto al tema della protezione dei dati personali, all’altro permette di dimostrare le scelte effettuate in termini di misure di sicurezza ritenute adeguate ai rischi individuati.

Come e cosa valutare in ambito privacy?

Nel settore della protezione dei dati personali, la valutazione di rischi e impatto di un trattamento deve tener conto dei diritti e libertà delle persone fisiche, mentre in altri casi, come ad esempio nel campo della sicurezza informatica, la valutazione dei rischi è centralizzata sull’organizzazione e non sugli interessati.

L’analisi svolta non deve riguardare esclusivamente il titolare o la sua organizzazione ma và effettuata nell’ottica degli interessati rispetto ai trattamenti in cui sono coinvolti.

In una valutazione di questo tipo non si farà riferimento esclusivamente agli aspetti di sicurezza del trattamento ma anche ai suoi effetti complessivi sugli interessati compreso il grado di innovatività con cui viene effettuato.

Per il calcolo del rischio andranno tenuti in considerazioni due valori fondamentali:

• Il livello di impatto sugli interessati di un determinato trattamento
• La probabilità di accadimento di una eventuale minaccia
  

Il rischio della minaccia è calcolato sul trattamento mentre il livello di impatto sugli interessati.

Quando effettuare la valutazione sul trattamento?

La risposta è sempre, il Regolamento Europeo chiede di effettuare una DPIA per tutti i trattamenti che presentano un rischio elevato ma per scoprire il grado di rischio di un trattamento l’unico modo è effettuare almeno una valutazione iniziale per ognuno di questi.

A prescindere dai parametri del GDPR riguardo ai trattamenti in cui risulta obbligatorio effettuare una DPIA è consigliabile effettuarla per tutti, almeno in una forma semplificata.

Si potrebbe distinguere fra una prima valutazione generale che comprenda sia il livello di impatto che di rischio effettuabile per tutti i trattamenti e una successiva valutazione completa che includa tutti i requisiti richiesti dalla normativa per i soli trattamenti per cui emergerà un rischio elevato.

Con questo post abbiamo voluto tracciare i caratteri generali della valutazione d’impatto in ambito privacy, una tematica, che per importanza e complessità, non può essere esaurita in un unico momento.

Per questo motivo, ecco la guida al calcolo del rischio sul trattamento e se sei alla ricerca di un software privacy per l'analisi dei rischi clicca qui e scopri tutti i vantaggi.