Linee guida

Data Protection, valutazione d’impatto. Ecco i nuovi obblighi per le aziende fissati dai Garanti Ue

di |

Pubblicate le linee guida dell’Article 29 Data Protection Working Party con i criteri e i metodi per il Data Protection Impact Assessment (DPIA) in vista dell’entrata in vigore del nuovo regolamento Ue.

Criteri, esempi pratici, metodologia e regole fisse per determinare i trattamenti ad alto rischio per i diritti e le libertà personali contenuti nel nuovo regolamento europeo sulla Data Protection (2016/679) che entrerà pienamente in vigore il 25 maggio del 2018. In quali casi e in che modo il titolare del trattamento è obbligato ad effettuare una valutazione d’impatto sulla Data Protection per allinearsi con le nuove regole, assai più stringenti soprattutto per le aziende, che rientrano nei nuovi obblighi del GDPR (General Data Protection Regulation) in arrivo fra sei mesi. Una serie di utili suggerimenti ed esempi concreti per stabilire quando e come muoversi per restare nell’alveo della legalità in materia di dati, con particolare attenzione al ruolo del DPO (Data Protection Officer) e del dipartimento IT nel ciclo di valutazione d’impatto del trattamento e dei diversi procedimenti informatici che rischiano di esporre i dati delle persone.

Questo in sintesi il contenuto delle linee guida sul Data Protection Impact Assessment (DPIA) (qui il documento in Pdf) appena varato e pubblicato dall’Article 29 Data Protection Working Party, l’organismo che raccoglie i garanti europei, che stabilisce appunto i criteri in capo ai titolari del trattamento di imprese e pubbliche amministrazioni in materia di data protection necessari per garantire la compliance con il nuovo regolamento. Ed evitare così il rischio di incorrere nelle pesanti sanzioni fino a 10 milioni di euro e, per le aziende, fino al 2% del fatturato globale calcolato sull’ultimo bilancio annuale.

DPIA non sempre obbligatoria

In primo luogo, le linee guida dei Garanti Ue mette in chiaro che il DPIA, la valutazione d’impatto, non è sempre obbligatoria, ma è richiesta soltanto nei casi in cui il trattamento in questione “possa risultare in un rischio elevato per i diritti e le libertà delle persone fisiche”, si legge nel documento.

 

Polizze assicurative insufficienti a coprire i rischi della Data Protection

Va ricordato che per gestire nel modo idoneo i diritti e le libertà delle persone fisiche, “i rischi vanno identificati, analizzati, stimati, valutati e trattati (es. mitigati…) e rivisti regolarmente. I controllori non possono sottrarsi a questa responsabilità coprendo i rischi con polizze assicurative”, si legge.

Che cos’è un DPIA (Valutazione d’impatto sulla Data Protection)?

In primo luogo, le linee guida dell’Article 29 Working Group, che vuole fissare regole comuni standard per il trattamento in tutti gli stati membri della Ue, stabiliscono che il DPIA può valere per una singola operazione di trattamento dati, ma può essere tralasciata per operazioni simili. Ad esempio, la valutazione d’impatto di un sistema di video sorveglianza in stazione da parte di un operatore ferroviario può essere fatto una volta sola e può coprire tutte le stazioni della rete ferroviaria.

Quando un’operazione di controllo delle persone coinvolge diversi soggetti, è necessario stabilire gli ambiti e il perimetro esatto di competenza sul trattamento dati delle persone fisiche in capo ai diversi soggetti coinvolti nell’operazione. Questo procedimento implica la condivisione di informazioni utili fra i diversi soggetti, e di possibili vulnerabilità, ad esempio nel caso della protezione di segreti industriali e commerciali, proprietà intellettuale, informazioni di business confidenziali.

Un DPIA può servire inoltre per stabilire l’impatto sulla protezione dati di un prodotto tecnologico. Ad esempio, in campo energetico, di uno smart meter, chiarendo così le responsabilità in capo al produttore del prodotto che sono ben distinte da quelle in capo all’azienda energetica che ne fa uso.

Quando un DPIA è obbligatorio?

La valutazione d’impatto sulla Data protection è sempre obbligatoria quando ci sono gli estremi per rischi elevati di violazione o perdita di dati.

La valutazione d’impatto è obbligatoria prima di cominciare il processo di trattamento dei dati personali.

E’ obbligatoria soprattutto ogni volta che si introduce una nuova tecnologia di Data Processing (trattamento dati) in caso di processi automatizzati, inclusa la profilazione; ogni volta che il trattamento dati riguarda categorie speciali come condanne penali, “monitoraggio sistematico di aree pubbliche su vasta scala”; il rendimento sul posto di lavoro; situazione economica e stato di salute delle persone; preferenze e interessi personali; affidabilità e comportamenti delle persone; localizzazione o spostamenti delle persone. Tutte informazioni raccolte per creare profili personali. Ad esempio, il trattamento di dati sanitari e lo storage di dati personali sul laptop aziendale sono situazioni ad alto rischio per la data protection personale.

DPIA: 9 criteri da prendere sempre in considerazione

Ecco nove criteri da tener presente prima di stilare il DPIA:

1.   Valutazione personale basata sulla profilazione personale

2.   Decision making automatizzato con effetti legali sulle persone

3.   Monitoraggio (video sorveglianza) su vasta scala

4.   Dati sensibili o di natura altamente personale (ad esempio, le opinioni politiche, fedina penale, dati sanitari personali, dati finanziari, documenti personali, email, codici di login personale)

5.   Trattamento dati su ampia scala (ad esempio durata del trattamento, area geografica, volume dei dati trattati in relazione alla popolazione)

6.   Il matching e la combinazione di dataset diversi (ad esempio, provenienti da database diversi e raccolti in origine per scopi diversi, la cui combinazione rischia di eccedere la portata del consenso originario)

7.   Dati che riguardano categorie di soggetti deboli (bambini, anziani, malati, malati di mente, richiedenti asilo)

8.   Utilizzo innovativo dei dati e nuove tecnologie in azienda di cui non si conoscono le conseguenze personali e sociali (ad esempio, impronte digitali, riconoscimento facciale, Internet of Things)

9.   Quando il trattamento stesso impedisce ai soggetti titolari dei dati di esercitare un diritto o di usare un servizio o un contratto (ad esempio, nel caso in cui una banca controlli l’affidabilità di un cliente consultando un database che raccoglie le referenze di credito) 

Il DPIA va rifatto spesso

Le operazioni di trattamento dati possono cambiare ed evolvere in tempi stretti, creando nuovi rischi e vulnerabilità per la Data protection. Per questo la valutazione d’impatto va rinnovata di pari passo con le modifiche dei trattamenti.

Il titolare del trattamento è responsabile del DPIA (ma non decide da solo)

Il titolare del trattamento è responsabile della valutazione d’impatto e deve avvalersi della collaborazione del DPO (Data Protection Officer) e del CISO (Chief Information Security Officer) e del Dipartimento IT. Per la validazione di particolari processi è necessario ai fini della validazione coinvolgere la business unit che dovrà poi svolgere operativamente il processo in questione anche con il consulto di avvocati, esperti IT e di sicurezza.

Il Working Party 29 incoraggia la creazione di DPIA settoriali

Il Working Party 29 incoraggia la fissazione di specifiche regole settoriali per il DPIA, in relazione all’utilizzo di particolari tecnologie e operazioni tipiche di particolari ambiti economici (ad esempio, il settore energia ha caratteristiche diverse dall’ambito sanitario).