Pubblicate le linee guida sul Data Protection Impact Assessment (DPIA) di recente varate e pubblicate dall’Article 29 Data Protection Working Party.

Criteri, esempi pratici, metodologia e regole fisse per determinare i trattamenti ad alto rischio per i diritti e le libertà personali contenuti nel nuovo regolamento europeo sulla Data Protection (2016/679) che entrerà pienamente in vigore il 25 maggio del 2018. In quali casi e in che modo il titolare del trattamento è obbligato ad effettuare una valutazione d’impatto sulla Data Protection per allinearsi con le nuove regole, assai più stringenti soprattutto per le aziende, che rientrano nei nuovi obblighi del GDPR (General Data Protection Regulation) in arrivo fra sei mesi. Una serie di utili suggerimenti ed esempi concreti per stabilire quando e come muoversi per restare nell’alveo della legalità in materia di dati, con particolare attenzione al ruolo del DPO (Data Protection Officer) e del dipartimento IT nel ciclo di valutazione d’impatto del trattamento e dei diversi procedimenti informatici che rischiano di esporre i dati delle persone.

Questo in sintesi il contenuto delle linee guida sul Data Protection Impact Assessment (DPIA) (qui il documento in Pdf) appena varato e pubblicato dall’Article 29 Data Protection Working Party, l’organismo che raccoglie i garanti europei, che stabilisce appunto i criteri in capo ai titolari del trattamento di imprese e pubbliche amministrazioni in materia di data protection necessari per garantire la compliance con il nuovo regolamento. Ed evitare così il rischio di incorrere nelle pesanti sanzioni fino a 10 milioni di euro e, per le aziende, fino al 2% del fatturato globale calcolato sull’ultimo bilancio annuale.

DPIA non sempre obbligatoria

In primo luogo, le linee guida dei Garanti Ue mette in chiaro che il DPIA, la valutazione d’impatto, non è sempre obbligatoria, ma è richiesta soltanto nei casi in cui il trattamento in questione “possa risultare in un rischio elevato per i diritti e le libertà delle persone fisiche”, si legge nel documento.

Polizze assicurative insufficienti a coprire i rischi della Data Protection

Va ricordato che per gestire nel modo idoneo i diritti e le libertà delle persone fisiche, “i rischi vanno identificati, analizzati, stimati, valutati e trattati (es. mitigati…) e rivisti regolarmente. I controllori non possono sottrarsi a questa responsabilità coprendo i rischi con polizze assicurative”, si legge.

Che cos’è un DPIA (Valutazione d’impatto sulla Data Protection)?

La valutazione d’impatto sulla Data protection è sempre obbligatoria quando ci sono gli estremi per rischi elevati di violazione o perdita di dati.
La valutazione d’impatto è obbligatoria prima di cominciare il processo di trattamento dei dati personali.
E’ obbligatoria soprattutto ogni volta che si introduce una nuova tecnologia di Data Processing (trattamento dati) in caso di processi automatizzati, inclusa la profilazione; ogni volta che il trattamento dati riguarda categorie speciali come condanne penali, “monitoraggio sistematico di aree pubbliche su vasta scala”; il rendimento sul posto di lavoro; situazione economica e stato di salute delle persone; preferenze e interessi personali; affidabilità e comportamenti delle persone; localizzazione o spostamenti delle persone. Tutte informazioni raccolte per creare profili personali. Ad esempio, il trattamento di dati sanitari e lo storage di dati personali sul laptop aziendale sono situazioni ad alto rischio per la data protection personale.

DPIA: 9 criteri da prendere sempre in considerazione

Ecco nove criteri da tener presente prima di stilare il DPIA:

1. Valutazione personale basata sulla profilazione personale
2. Decision making automatizzato con effetti legali sulle persone
3. Monitoraggio (video sorveglianza) su vasta scala
4. Dati sensibili o di natura altamente personale (ad esempio, le opinioni politiche, fedina penale, dati sanitari personali, dati finanziari, documenti personali, email, codici di login personale)
5. Trattamento dati su ampia scala (ad esempio durata del trattamento, area geografica, volume dei dati trattati in relazione alla popolazione)
6. Il matching e la combinazione di dataset diversi (ad esempio, provenienti da database diversi e raccolti in origine per scopi diversi, la cui combinazione rischia di eccedere la portata del consenso originario)
7. Dati che riguardano categorie di soggetti deboli (bambini, anziani, malati, malati di mente, richiedenti asilo)
8. Utilizzo innovativo dei dati e nuove tecnologie in azienda di cui non si conoscono le conseguenze personali e sociali (ad esempio, impronte digitali, riconoscimento facciale, Internet of Things)
9. Quando il trattamento stesso impedisce ai soggetti titolari dei dati di esercitare un diritto o di usare un servizio o un contratto (ad esempio, nel caso in cui una banca controlli l’affidabilità di un cliente consultando un database che raccoglie le referenze di credito)

Il DPIA va rifatto spesso

Le operazioni di trattamento dati possono cambiare ed evolvere in tempi stretti, creando nuovi rischi e vulnerabilità per la Data protection. Per questo la valutazione d’impatto va rinnovata di pari passo con le modifiche dei trattamenti.

Il titolare del trattamento è responsabile del DPIA (ma non decide da solo)

Il titolare del trattamento è responsabile della valutazione d’impatto e deve avvalersi della collaborazione del DPO (Data Protection Officer) e del CISO (Chief Information Security Officer) e del Dipartimento IT. Per la validazione di particolari processi è necessario ai fini della validazione coinvolgere la business unit che dovrà poi svolgere operativamente il processo in questione anche con il consulto di avvocati, esperti IT e di sicurezza.

Il Working Party 29 incoraggia la creazione di DPIA settoriali

Il Working Party 29 incoraggia la fissazione di specifiche regole settoriali per il DPIA, in relazione all’utilizzo di particolari tecnologie e operazioni tipiche di particolari ambiti economici (ad esempio, il settore energia ha caratteristiche diverse dall’ambito sanitario).