Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GDPR, ecco quando e come va effettuata la valutazione d’impatto

Come utilizzare le annotazioni sul registro per determinare la probabilità che il danno correlato al trattamento si verifichi e in base alle misure di sicurezza adottate supportare la valutazione del rischio residuo

12 Mar 2020

Samuel De Fazio

Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

Registro, valutazione d’impatto e violazione di dati personali: tre attività apparentemente separate che si rivelano estremamente collegate adottando l’approccio basato sul rischio, nell’ambito delle incombenze da realizzare per ottemperare al GDPR. Esse sono, rispettivamente: mandatoria praticamente sempre, obbligatoria al ricorrere di determinati presupposti oggettivi o soggettivi e doverosa al verificarsi dell’evento.

Definizione di registro

Il registro, infatti, oltre agli ormai cementati criteri che ne determinano l’obbligatorietà di redazione definiti dall’art. 30 del GDPR, come si premura di precisare il Garante nelle sue FAQ pubblicate l’8 ottobre 2018, “Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione” e “il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.

Il registro, quindi, è un utilissimo strumento in cui raccogliere le evidenze fattuali o, almeno, di progettazione di un qualsiasi trattamento. Tali elementi, nel concreto, rappresentano le caratteristiche qualitative e quantitative di una serie di variabili che non dovrebbero essere ignorare nella normale conduzione di una valutazione del rischio che un trattamento fa gravare sui diritti e le libertà degli interessati e delle persone. Se ragioniamo sul fatto che una valutazione d’impatto sulla protezione dei dati personali debba essere effettuata nel caso in cui un trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone interessate (rischio che può essere effettivamente valutato in autonomia dal titolare del trattamento, oppure essere determinato a presunzione di legge), si comprende appieno il primo grande e importante collegamento tra il registro delle attività di trattamento e la valutazione d’impatto sulla protezione dei dati.

Già in fase di redazione del registro, infatti, il titolare è in grado di rendersi conto della presenza di determinati elementi pericolosi e forieri di rischio, se non, addirittura, di individuare i trattamenti che, per le loro peculiari caratteristiche, rappresentano un rischio elevato da sottoporre a valutazione d’impatto. Conoscere e identificare le finalità permette di valutare al meglio la necessità e la proporzionalità del trattamento e, conseguentemente, di effettuare un più accurato esame del bilanciamento degli interessi; censire le categorie di interessati e le categorie di dati personali permette di avere parametri affidabili con cui determinare l’entità del danno provocabile dal trattamento (pericoloso per sua natura); indicare i flussi di dati (ossia le categorie di destinatari o la destinazione dei dati) permette di individuare le fonti esterne di rischio; avere contezza dei tempi di conservazione aiuta nella determinazione della probabilità che il danno correlato al trattamento si verifichi; infine, sapere quali misure di sicurezza sono state adottate, sia organizzative che tecniche, supporta l’operazione della valutazione del rischio residuo.

Quando occorre la valutazione d’impatto

Se tale rischio residuo è elevato, allora si dovrà procedere con la valutazione d’impatto.

È lapalissiano, a questo punto, che se un trattamento è particolarmente rischioso, soprattutto se rappresenta un rischio elevato ed è obbligatoriamente da sottoporre a valutazione d’impatto, che, spostandoci sul tema della violazione dei dati – essendo anch’essa un trattamento di dati – non possiamo non considerare le risultanze ottenute come indice di una presunta gravità della violazione o, quantomeno, come elemento per determinarla.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

In pratica, lo schema logico dovrebbe essere il seguente:

  • censire e descrivere i trattamenti nel registro;
  • usare il registro e gli elementi indicati per supportare la valutazione del rischio sul singolo trattamento;
  • identificare i trattamenti che rappresentano un rischio elevato;
  • effettuare la valutazione d’impatto sui trattamenti che rappresentano un rischio elevato.
  • prepararsi a fronteggiare le violazioni di dati, sapendo che i trattamenti che rappresentano un rischio elevato potrebbero essere oggetto delle violazioni di maggior gravità, che dovrebbero essere comunicate al Garante e all’interessato.

Conclusioni

In altre parole, se un trattamento è così rischioso da dover essere sottoposto a valutazione d’impatto, difficilmente sarà sostenibile la tesi secondo cui una violazione che colpisce quel determinato trattamento non sia da considerarsi così grave da poter non essere comunicata al Garante e, se del caso, all’interessato.

Ancora una volta, quindi, emerge come il GDPR guardi più ai sistemi di gestione che alle “liste” di adeguamenti tout court e alle facili soluzioni chiavi-in-mano.

D
Samuel De Fazio
Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

Articolo 1 di 5