Impact assessment

 

 

Valutazione di impatto sulla protezione dei dati («impact assessment»)

La valutazione di impatto sulla protezione dei dati («impact assessment»)

È uno strumento che consente di analizzare il rischio dei trattamenti, fondamentale per descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali (attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli).

È importante in termini di «accountability», giacché aiuta anche a rispettare le prescrizioni del GDPR e dimostrare l’adozione di misure idonee a garantire il rispetto di queste prescrizioni. Quindi, è uno strumento che permette di analizzare e di dimostrare il rispetto delle norme.

Una buona valutazione di impatto sulla protezione dei dati permette l’analisi preventiva dei trattamenti e la correzione di quanto difforme dai requisiti del GDPR prima dell’inizio del trattamentodata protection by design»), mitigando il rischio di sanzioni irrogate dall’autorità di controllo.

Non tutti i trattamenti comportano la conduzione di una valutazione di impatto. Pur tuttavia è buona norma, procedere alla conduzione di un «impact assessment» in casi dubbi o che non sono oggettivamente valutabili, anche perché è uno strumento che aiuta a essere conformi alla legislazione sulla protezione dei dati.

Deve essere intesa come processo continuo di gestione del rischio che può derivare dalle attività di trattamento dei dati personali svolte, perciò la gestione del rischio può essere definita come insieme di attività coordinate che permette di indirizzare e controllare una società, un’organizzazione, un ente rispetto al rischio.

Quando una valutazione di impatto sulla protezione dei dati è obbligatoria

Il GDPR richiede che sia condotta una valutazione di impatto sulla protezione dei dati quando il trattamento «può presentare un rischio elevato per i diritti e le libertà delle persone fisiche».

Il GDPR elenca alcuni casi che possono comportare rischi elevati, ma sono gli Stati membri a dovere emanare liste di trattamenti che comportano un preventivo «impact assessment». I casi previsti dal GDPR sono:

1. valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche

2. trattamento su larga scala di categorie particolari di dati personali o dati personali relativi a condanne penali e reati

3. sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Il Garante italiano ha già pubblicato una lista di trattamenti da sottoporre a valutazione di impatto.

Come analizzare il rischio

Il rischio è lo scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di probabilità e di gravità per i diritti e le libertà dell’interessato.

La valutazione del rischio non deve essere confusa o, meglio, limitata alle misure di sicurezza, che ne rappresentano soltanto una parte.

Devono essere considerati gli effetti complessivi del rischio: origine, natura, gravità, probabilità, impatto sui diritti e le libertà dell’interessato. La somma di questi elementi consente di determinare il livello del rischio.

Il Garante italiano ha messo a disposizione, in collaborazione con il CNIL (Autorità di controllo francese) apposito software per condurre la valutazione di impatto sulla protezione dei dati che può essere liberamente scaricato qui.

Se dalla valutazione di impatto sulla protezione dei dati risulta che il trattamento, in mancanza delle garanzie, delle misure di sicurezza e dei meccanismi per attenuare il rischio, presenterebbe un rischio elevato per i diritti e le libertà delle persone fisiche e il titolare ritiene che il rischio non possa essere ragionevolmente attenuato in termini di tecnologie disponibili e costi di attuazione, c’è necessità di consultare l’autorità di controllo prima di eseguire le attività di trattamento. Nel processo di consultazione, occorre presentare all’autorità di controllo l’«impact assessment» condotto con le misure previste per attenuare il rischio. L’autorità di controllo fornisce parere scritto entro otto settimane dal ricevimento della richiesta di consultazione.

Come gestire e prevenire il rischio

Per aderire al principio di «accountability», è obbligo impiegare tutti gli strumenti organizzativi e tecnologici perché il rischio sia minimizzato e mitigato.

Le misure da considerare consistono, dunque, in:

1. procedure tecnologiche (es.: policy di sicurezza fisiche e informatiche)

2. procedure organizzative (es: formazione allo staff, norme comportamentali)

3. applicazione dei principi applicabili al trattamento stabiliti dal GDPR (es.: minimizzazione dei dati).

 

Per approfondire, clicca qui oppure consulta le FAQ oppure contattatami.

 

Privacy Policy - Cookie Policy - Condizioni uso sito - Website map


Tiziana Minella - Via Vittoria Colonna, 32 - 10155 Torino (TO) - P.I. 03152590018 - mob. 366.4761338 - 338.6626635