Valutazione d’impatto sulla protezione dei dati: si può fare con il software CNIL, ma attenzione alle insidie

Valutazione d’impatto sulla protezione dei dati: si può fare con il software CNIL, ma attenzione alle insidie

Il Garante e la CNIL hanno collaborato alla creazione di un software apposta, che aiuta nella conduzione della valutazione

In un precedente articolo, dal titolo Garante privacy: quando e chi deve effettuare la valutazione di impatto, è stato illustrato cosa fosse la valutazione d’impatto sulla protezione dei dati, quando e chi dovesse farla obbligatoriamente secondo il provvedimento del Garante dell’11 ottobre 2018. 

La valutazione d’impatto (o data protection impact assessment, DPIA) deve comunque essere fatta quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche e dovrebbe contenere almeno:

a) Una descrizione dei trattamenti previsti e delle loro finalità; 
b) Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; 
c) Una valutazione dei rischi per i diritti e le libertà degli interessati; 
d) Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR;
e) Le opinioni del DPO e degli interessati.
Per aiutare i soggetti obbligati, il Garante ha collaborato con il suo omologo francese, la CNIL, nel preparare uno strumento informatico per condurre una valutazione d’impatto. Il tool si chiama PIA, è gratuito e disponibile sul portale web della CNIL ed è stato recentemente aggiornato. 

La valutazione guidata dal tool parte con la descrizione del contesto di riferimento, scrivendo una presentazione sintetica del trattamento e le responsabilità connesse e individuando gli standard applicabili allo stesso. In questo frangente si descrivono le categorie di dati trattati, il loro ciclo di vita e le risorse impiegate nel trattamento. 

Il passaggio successivo è descrivere i principii che sono applicati al trattamento in questione, con lo scopo di esaminare quelli di proporzionalità e necessità, in modo da individuare se gli scopi siano specifici, espliciti e legittimi, quali siano le basi giuridiche che legittimano il trattamento, se i dati siano adeguati, pertinenti e limitati a quanto necessario, se siano esatti e aggiornati e per quanto tempo siano conservati. Si esplicitano, inoltre, le misure poste a tutela dei diritti degli interessati. 

In seguito, si descrivono le misure di sicurezza e si identificano i rischi su tre direttrici: accesso illegittimo, modifiche indesiderate e perdita dei dati. In questa parte il software chiede di esprimere un giudizio qualitativo sulla probabilità del rischio e sulla sua gravità. 
Una volta inserite tutte queste informazioni, il tool permette di visualizzare in forma grafica una mappatura dei rischi in relazione agli impatti potenziali, alle minacce, alle fonti e alle misure di sicurezza e chiede di compilare un eventuale piano d’azione per il miglioramento e di inserire i pareri del DPO e degli interessati. 
Al termine, è richiesta la validazione della DPIA da parte del titolare o del responsabile. 

Pro

  • Semplicità di utilizzo;
  • Supporti con definizioni e guide;
  • Gratuità;
  • Compatibilità con vari sistemi operativi e integrabile nei propri server in modalità front-end e back end.

Contro

  • Limitazione alle categorie di rischio alle sole tre indicate (accesso illegittimo, modifiche indesiderate, perdita di dati) e focalizzazione sui rischi per i dati;
  • Non considerazione del fatto che i rischi da valutare sono sui diritti e le libertà delle persone fisiche;
  • Incompleta applicazione dell’approccio scientifico richiesto dalle norme ISO 29134 e ISO 31000, sulla valutazione d’impatto e sulla gestione dei rischi, in particolare nella definizione qualitativa della probabilità e della gravità del danno arrecato;
  • Mancata considerazione del fatto che non tutte le organizzazioni possono avere persone diverse come “autore”, “revisore” e “validatore” e che non tutte le organizzazioni hanno un DPO o la possibilità di interpellare gli interessati o le loro rappresentanze.

Attenzione!
Particolarmente significativo sarà il supporto del registro dei trattamenti e delle informative, due documenti che dovranno essere assolutamente coerenti con la DPIA, che sarà quindi un modo per effettuare anche una prima verifica della bontà e dell’adeguatezza dell’intero sistema di gestione. 
Infine, è necessario, se non doveroso, ricordare e sottolineare ancora una volta che: 

  • “Aiutare a condurre” una valutazione NON significa “effettuare” una valutazione. DPIA non valuta, ma permette di raccogliere le informazioni necessarie e le organizza in modo funzionale per il valutatore;
  • La valutazione la fa l’operatore, non il software;
  • Una “valutazione” non è una “misurazione”;
  • In molti ambiti la valutazione è un processo complesso che richiede competenze particolari e trasversali che non sempre sono nelle disponibilità di una sola persona e, perciò, è sempre un buon consiglio affidarsi, o almeno coinvolgere, a un consulente specializzato in protezione dei dati.


Fonte: Fiscal Focus