Cosa facciamoGDPRSicurezza informatica

Corso DPO – Valutazione d’impatto (PIA)

La quarta lezione del corso DPO ha come argomento la Valutazione d’Impatto (PIA) ed è tenuta dall’avvocato Luigi Montuori.

Anche Montuori ribadisce il nuovo approccio di responsbilizzazione del Titolare del trattamento.
Questo comporta che il titolare stesso valuti con attenzione le informazioni e i trattamenti relativi.

Dato che il GDPR è incentrato sull’accountability è importante che il Titolare valuti e documenti con attenzione le sue decisioni, eventualmente facendosi coaudiuvare dal DPO.

In aiuto a questo processo il GDPR prevede la possibilità di far certificare i trattamenti o di adeguarsi a codici di condotta.
Il Titolare in tal modo non annulla le sue responsabilità in caso di violazione (una violazione è sempre una violazione) ma si mette in una posizione più accettabile.

Rischio inerente al trattamento

I considerando da 75 a 77 trattano il rischio, definendo l’importanza dell’analisi degli impatti negativi sulla libertà e i diritti degli interessati, che va valutato applicando quanto conosciuto.

Il titolare può quindi applicare misure idonee o best practices per ridurlo.
Nel caso il rischio residuo rimanesse alto il titolare può rivolgersi al Garante per avere suggerimenti; il Garante potrebbe eventualmente anche arrivare a vietare il trattamento.
Questo è, a parer mio, un valore aggiunto del nuovo approccio che si lega anche ai dettami dei sistemi di gestione in questo ambito: posso scegliere il mio approccio ed eventualmente avere una figura autorevole che mi aiuta nella conformità.

L’obbligo di notifica al Garante è stato sostituito dalla creazione del Registro dei Trattamenti.
In linea teorica da questo obbligo sono esentate le imprese con meno di 250 dipendenti.
Di fatto però l’articolo 30 – 5 è contraddittorio in quanto estende l’obbligo alle imprese che trattano dati particolari, facendo di fatto rientrare tutte le imprese con dipendenti.
Entro l’entrata in vigore del GDPR sarà chiarito anche questo aspetto.

Valutazione d’impatto (PIA)

La valutazione d’impatto è un processo che va rieseguito ogni volta che si modifica lo scenario dei dati trattati.
Non è definita in modo preciso, ma l’articolo 35 – 7 riporta il contenuto minimo.

Nell’ambito di creazione/revisione della PIA è opportuno ricordare che è sempre necessario dimostrare la conformità al GDPR.

Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi..

La PIA deve essere eseguita nei seguenti casi.

  • Il trattamento presenta rischi elevati.
  • Il titolare ha come attività una valutazione sistematica e globale di aspetti personali.
  • Si trattano particolari categorie di dati su larga scala.
  • Si sorveglia sistematicamente su larga scala una zona accessibile al pubblico (non si applica per negoz/condomini).

Il WP art. 29 indica 9 criteri per decidere se svolgere una PIA. Se almeno due sono soddisfatti il WP consiglia di eseguire una PIA.
Questo non significa che sia automatico: si potrebbe dover eseguire nel caso anche di un solo criterio soddisfatto (in modo molto importante) oppure farla a partire da tre o quattro; dipende ovviamente dalla valutazione sui rischi correlati.

  1. Valutazione o assegnazione di un punteggio svolto automaticamente.
  2. Processo decisionale automatizzato che ha effetti giurdici.
  3. Monitoraggio sistematico.
  4. Trattamento di dati sensibili che hanno carattere altamente personale.
  5. Trattamento di dati su larga scala.
  6. Creazioni di corrispondenze o combinazioni di insieme (big data).
  7. Dati relativi a interessati vulnerabili.
  8. Uso innovativo o applicazione di nuove soluzioni tecnologiche e/o organizzative.
  9. Il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio/contratto.

ATTENZIONE: la PIA dovrebbe essere eseguita prima di effettuare il trattamento.

Montuori controlla poi il nostro livello di comprensione sottoponendoci gli esempi proposti dallo stesso WP art. 29; direi che non siamo andati malaccio 😉

E con questo il secondo fine settimana di corso è concluso, arrivederci al prossimo!