IL CONCETTO DI RISCHIO

Il "rischio" nella gestione dei dati personali è un concetto per molti nuovo e poco chiaro.

Questo concetto è legato al valore dei dati personali. I dati personali sono un bene di importanza crescente nel mondo digitale di oggi. La nostra identità digitale è importante e reale tanto quanto la nostra identità fisica, con la differenza che la nostra identità digitale può essere utilizzata per scopi non legati alle nostra volontà.

La nostra identità digitale si presta ad essere manipolata, interpretata, posseduta, rubata, trasformata anche senza il nostro consenso. I furti di identità sono già numerosi e portano a conseguenze sul piano reale.

Una scarsa consapevolezza della propria identità digitale, porta ad una scarsa protezione della stessa. Nel passato, infatti, i servizi gratuiti offerti da molte aziende avevano lo scopo di ottenere i Vostri dati per poterli utilizzare e rivendere a terze aziende di marketing. Tutti ci siamo cascati e sappiamo oggi che tale attività ha dato origine sia a infiniti invii di spam che a profilazione di ciascuno di noi nelle proprie attività e preferenze, gusti, abitudini. A ciò contribuiscono in modo determinante anche i cookies.

Image
La nostra Identità Digitale è da proteggere. I nostri dati non devono passare di mano in mano senza che noi ne siamo consapevoli. E da ora abbiamo il diritto di sapere quali nostri dati sono presenti un determinato archivio e di ottenere la cancellazione, rettifica, anonimizzazione, blocco e così via.

Il GDPR vuole che i vostri dati siano considerati una Vostra proprietà e non possano essere utilizzati per scopi diversi da quelli dichiarati da una informativa, che non possano essere ceduti senza il vostro specifico, esplicito consenso, che non possano essere asportati, dispersi, utilizzati per qualsivoglia altro fine da incerti attori.
La raccolta di dati personali oggi viene regolamentata ed il GDPR rappresenta un cambiamento epocale.

LA VALUTAZIONE DEI RISCHI

Il titolare del trattamento deve sempre effettuare una valutazione del rischio.

La valutazione del rischio consiste in:
  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso anche, eventualmente, l'interesse legittimo perseguito dal titolare del trattamento;
  • valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • valutazione dei rischi per i diritti e le libertà degli interessati;
  • valutazione delle misure previste per affrontare i rischi, comprese le garanzie, le misure di sicurezza e i meccanismi previsti al fine di garantire la protezione dei dati personali e dimostrare la conformità del trattamento al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

DPIA obbligatoria

La valutazione d'impatto (DPIA, acronimo del nominativo inglese "Data Protection Impact Assessment") va condotta in via anticipata, ovvero prima di procedere al trattamento dei dati e preferibilmente già nella fase di progettazione di un'attività di trattamento dei dati.
Inoltre, quando richiesta, la valutazione d'impatto sulla protezione dei dati non è un'attività che dovrà essere posta in essere una tantum, ma si configura piuttosto come un processo continuativo da mantenere attivo e aggiornato nel corso del tempo. Risulta infatti necessaria una attività di aggiornamento delle informazioni contenute nella DPIA in quanto sia la tecnologia che il quadro normativo sono evolutivi.

L'authority Italiana ha fornito le seguenti indicazioni su quando ritenere la DPIA obbligatoria.

  1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittiveeffettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gliinteressi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”.
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente”sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di uncontratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraversoreti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della societàdell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche itrattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, diprevisioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
Il Garante italiano fa inoltre riferimento alle linee guida del gruppo di Lavoro Articolo 29 "Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679.

Le Linee Guida del grippo dei Garanti WP29, suggeriscono, diversi metodi attraverso cui poter realizzare una valutazione d'impatto.
Il Garante italiano ha indicato le linee guida per la realizzazione della DPIA, al pari del garante Spagnolo. Il Garante Francese ha messo a disposizione un software gratuito particolarmnete adatto alle PMI. Altre procedure sono a disposizione con una ricerca web.
Il GDPR lascia ai titolari del trattamento un margine di flessibilità per quanto riguarda la forma che tale valutazione d'impatto dovrà avere, in modo tale da consentire loro di includere un riferimento alle prassi già in essere.
Qualsiasi sia comunque la forma prescelta, la valutazione d'impatto dovrà essere impostata come una vera e propria valutazione dei rischi, in modo tale quindi da mettere i titolari in condizione di adottare le misure adeguate al fine di gestire e minimizzare tali rischi.
Un'analisi efficace dovrebbe quindi tener conto correttamente del tipo di dati trattati e della loro pericolosità per la riservatezza dei soggetti cui si riferiscono, nonché del comportamento degli operatori e dei vari elementi (attinenti agli strumenti utilizzati e al contesto specifico) che vengono in considerazione.




DPIA non obbligatoria

L'authority Belga ha fornito importanti indicazioni agli operatori elencando in quali casi la DPIA non è obbligatoria.
  • i trattamenti effettuati da privati necessari ad adempiere ad un obbligo normativo, e per i quali la legge abbia indicato gli scopi dell’elaborazione, le categorie di dati personali e le garanzie per prevenire abusi o accessi o trasferimenti illegittimi;
  • il trattamento relativo esclusivamente ai dati necessari per l’amministrazione degli stipendi dei dipendenti del Titolare, quando i dati sono utilizzati unicamente per tale finalità, sono comunicati solo ai destinatari autorizzati a tale scopo e non vengono conservati più a lungo del tempo necessario per conseguire la finalità del trattamento;
  • il trattamento relativo esclusivamente all’amministrazione dei dipendenti del Titolare, nella misura in cui tale trattamento non coinvolge i dati relativi alla salute degli interessati o altre particolari categorie di dati di cui all’art. 9 GDPR o dati di cui all’art. 10 GDPR, ed i dati personali non vengono conservati più a lungo del tempo richiesto per la finalità di amministrazione del personale e sono comunicati a terzi solo se previsto da una disposizione di legge o regolamentare o per la realizzazione delle finalità del trattamento;
  • trattamenti di dati personali che riguardano esclusivamente la contabilità del Titolare, quando i dati vengono utilizzati esclusivamente per tale finalità, e purché i dati personali non sono conservati più a lungo del tempo necessario al conseguimento delle finalità del trattamento ed i dati personali trattati sono comunicati a terzi in base ad una previsione di legge o la comunicazione è necessaria per la contabilità;
  • il trattamento di dati personali relativi all’amministrazione di azionisti e soci quando il trattamento riguarda solo i dati necessari per tale amministrazione, e sono comunicati a terzi esclusivamente in base ad una previsione di legge o regolamentare e non vengono conservati oltre il tempo necessario per raggiungere gli scopi del trattamento;
  • il trattamento di dati personali da parte di una fondazione, associazione o qualsiasi altra istituzione senza scopo di lucro in occasione delle sue attività abituali, a condizione che il trattamento riguardi esclusivamente i dati personali relativi ai propri membri, alle persone con cui il Titolare mantiene contatti regolari quali beneficiari, purché non vi siano dati ottenuti da terzi, e che i dati non vengano conservati più a lungo del tempo richiesto per l’amministrazione e siano comunicati a terzi solo in presenza di una disposizione di legge o regolamentare;
  • il trattamento di dati personali relativo alla registrazione dei visitatori per il controllo accessi, quando i dati elaborati sono limitati al nome ed indirizzo professionale del visitatore, all’identificazione del suo datore di lavoro, all’identificazione del veicolo, al nome, la sezione e la funzione della persona visitata ed al momento della visita, ed i dati non sono conservati oltre il tempo necessario alla finalità di controllo accessi;
  • il trattamento di dati personali da parte di istituti di formazione per la gestione dei loro rapporti con gli alunni e studenti, purché il trattamento si riferisca solo a studenti attuali e potenziali o ad ex studenti e non vengano trattati dati ottenuti da terzi, e la comunicazione avvenga unicamente sulla base di una disposizione normativa o regolamentare ed il dato non sia conservato per un periodo superiore a quello necessario a mantenere la comunicazione tra lo studente e l’istituto;
  • il trattamento di dati personali relativi esclusivamente alla gestione dei clienti e fornitori del Titolare, purché il trattamento riguardi solo clienti e fornitori attuali o precedenti e non siano ricomprese particolari categorie di dati, ex art. 9 GDPR o dati di cui all’art. 10 GDPR, e per quanto riguarda l’amministrazione della clientela, non vengano registrati dati forniti da terzi, ed i dati siano conservati per il periodo necessario alla normale gestione della clientela del Titolare e siano comunicati a terzi solamente in base ad una norma di legge o di regolamento o nel quadro della normale gestione aziendale.