Tag: Valutazione d’impatto sulla protezione dei dati personali

Posted on

DPIA: il Garante fornisce chiarimenti interpretativi

DPIA: il Garante fornisce chiarimenti interpretativi

Primo intervento del Garante privacy per semplificare l’applicazione dei dodici criteri secondo cui è necessario procedere con la DPIA.

Sono passati appena quattro mesi esatti dall’11 ottobre 2018, giorno in cui il Garante per la Protezione dei Dati Personali pubblicava, come allegato a un suo provvedimento, l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, elenco che reca dodici casi tipo e che possono aiutare a determinare se sia o meno dovuta una DPIA nell’ambito della propria organizzazione.

La nota interpretativa.

Oggi, sul sito dell’Autorità, per rendere le cose più semplici e ridurre gli oneri a carico dei titolari del trattamento, è stato pubblicata una nota interpretativa che rende estremamente più circostanziati alcuni dei casi di cui sopra.

Dal sito, nella sezione dedicata alla DPIA, si legge che:

<<Si evidenzia come le espressioni trattamenti “sistematici” e “non occasionali” indicate nell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della “larga scala” così come espressamente illustrato al quinto criterio del WP 248 (pag. 11):

“5. trattamento di dati su larga scala: il regolamento generale sulla protezione dei dati non definisce la nozione di “su larga scala”, tuttavia fornisce un orientamento in merito al considerando 91. A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

  1. Il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  2. Il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  3. La durata, ovvero la persistenza, dell’attività di trattamento;
  4. La portata geografica dell’attività di trattamento;”

Si evidenzia inoltre che il termine “dati biometrici” di cui al punto 11 dell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto va inteso come “dati biometrici, trattati per identificare univocamente una persona fisica”>>.

Nello specifico i criteri la cui interpretazione è stata fornita dal Garante con la nota odierna, andrebbero riletti come segue:

  • Criterio n° 6: Trattamenti non occasionali e su larga scala di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
  • Criterio n° 11: Trattamenti sistematici e su larga scala di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
  • Criterio n° 12: Trattamenti sistematici e su larga scala di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Conseguenze per i commercialisti e gli esperti contabili.

Alla luce della nota interpretativa fornita dal Garante, si può affermare con ragionevole certezza che i criteri 11 e 12 continuino a non trovare applicazione per gli studi dei professionisti e dei lettori-tipo di Fiscal Focus.

Lo stesso, purtroppo, non è possibile affermarlo in modo assoluto per il criterio n° 6, la cui applicabilità dovrà essere, di volta in volta, valutata caso per caso. Si pensi, per esempio, a chi si trova a gestire la contabilità di una casa di cura; in questo caso, trovo sia presente la possibilità che si vadano a trattare in modo regolare e sistematico i dati (per esempio la regolarità nei pagamenti delle rette o delle prestazioni) dei cosiddetti “soggetti vulnerabili”.

Fonte: Fiscal Focus

Posted on

Valutazione d’impatto sulla protezione dei dati: si può fare con il software CNIL, ma attenzione alle insidie

Valutazione d’impatto sulla protezione dei dati: si può fare con il software CNIL, ma attenzione alle insidie

Il Garante e la CNIL hanno collaborato alla creazione di un software apposta, che aiuta nella conduzione della valutazione

In un precedente articolo, dal titolo Garante privacy: quando e chi deve effettuare la valutazione di impatto, è stato illustrato cosa fosse la valutazione d’impatto sulla protezione dei dati, quando e chi dovesse farla obbligatoriamente secondo il provvedimento del Garante dell’11 ottobre 2018. 

La valutazione d’impatto (o data protection impact assessment, DPIA) deve comunque essere fatta quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche e dovrebbe contenere almeno:

a) Una descrizione dei trattamenti previsti e delle loro finalità; 
b) Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; 
c) Una valutazione dei rischi per i diritti e le libertà degli interessati; 
d) Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR;
e) Le opinioni del DPO e degli interessati.
Per aiutare i soggetti obbligati, il Garante ha collaborato con il suo omologo francese, la CNIL, nel preparare uno strumento informatico per condurre una valutazione d’impatto. Il tool si chiama PIA, è gratuito e disponibile sul portale web della CNIL ed è stato recentemente aggiornato. 

La valutazione guidata dal tool parte con la descrizione del contesto di riferimento, scrivendo una presentazione sintetica del trattamento e le responsabilità connesse e individuando gli standard applicabili allo stesso. In questo frangente si descrivono le categorie di dati trattati, il loro ciclo di vita e le risorse impiegate nel trattamento. 

Il passaggio successivo è descrivere i principii che sono applicati al trattamento in questione, con lo scopo di esaminare quelli di proporzionalità e necessità, in modo da individuare se gli scopi siano specifici, espliciti e legittimi, quali siano le basi giuridiche che legittimano il trattamento, se i dati siano adeguati, pertinenti e limitati a quanto necessario, se siano esatti e aggiornati e per quanto tempo siano conservati. Si esplicitano, inoltre, le misure poste a tutela dei diritti degli interessati. 

In seguito, si descrivono le misure di sicurezza e si identificano i rischi su tre direttrici: accesso illegittimo, modifiche indesiderate e perdita dei dati. In questa parte il software chiede di esprimere un giudizio qualitativo sulla probabilità del rischio e sulla sua gravità. 
Una volta inserite tutte queste informazioni, il tool permette di visualizzare in forma grafica una mappatura dei rischi in relazione agli impatti potenziali, alle minacce, alle fonti e alle misure di sicurezza e chiede di compilare un eventuale piano d’azione per il miglioramento e di inserire i pareri del DPO e degli interessati. 
Al termine, è richiesta la validazione della DPIA da parte del titolare o del responsabile. 

Pro

  • Semplicità di utilizzo;
  • Supporti con definizioni e guide;
  • Gratuità;
  • Compatibilità con vari sistemi operativi e integrabile nei propri server in modalità front-end e back end.

Contro

  • Limitazione alle categorie di rischio alle sole tre indicate (accesso illegittimo, modifiche indesiderate, perdita di dati) e focalizzazione sui rischi per i dati;
  • Non considerazione del fatto che i rischi da valutare sono sui diritti e le libertà delle persone fisiche;
  • Incompleta applicazione dell’approccio scientifico richiesto dalle norme ISO 29134 e ISO 31000, sulla valutazione d’impatto e sulla gestione dei rischi, in particolare nella definizione qualitativa della probabilità e della gravità del danno arrecato;
  • Mancata considerazione del fatto che non tutte le organizzazioni possono avere persone diverse come “autore”, “revisore” e “validatore” e che non tutte le organizzazioni hanno un DPO o la possibilità di interpellare gli interessati o le loro rappresentanze.

Attenzione!
Particolarmente significativo sarà il supporto del registro dei trattamenti e delle informative, due documenti che dovranno essere assolutamente coerenti con la DPIA, che sarà quindi un modo per effettuare anche una prima verifica della bontà e dell’adeguatezza dell’intero sistema di gestione. 
Infine, è necessario, se non doveroso, ricordare e sottolineare ancora una volta che: 

  • “Aiutare a condurre” una valutazione NON significa “effettuare” una valutazione. DPIA non valuta, ma permette di raccogliere le informazioni necessarie e le organizza in modo funzionale per il valutatore;
  • La valutazione la fa l’operatore, non il software;
  • Una “valutazione” non è una “misurazione”;
  • In molti ambiti la valutazione è un processo complesso che richiede competenze particolari e trasversali che non sempre sono nelle disponibilità di una sola persona e, perciò, è sempre un buon consiglio affidarsi, o almeno coinvolgere, a un consulente specializzato in protezione dei dati.

Fonte: Fiscal Focus

Posted on

Riflessioni in merito alla PIA

Riflessioni in merito alla valutazione d’impatto sulla protezione dei dati (PIA).

Il GDPR ci chiede di fare la valutazione d’impatto sulla protezione dei dati (conosciuta anche con gli acronimi PIA1 o DPIA2). Ma siamo sicuri di averne davvero compreso lo spirito?

In questo periodo noto un grande fermento attorno alla tematica della privacy, con molti articoli che spiegano cose che ormai rasentano la scontatezza.

Trovo pochi, pochissimi approfondimenti. Giusto per non dire che non ne trovo affatto. Gli unici contenuti sono le linee guida che qualche associazione zelante o ente pubblico competente ha avuto la pazienza di sviluppare e rendere pubbliche.

Per converso, social network come LinkedIn pullulano di post, scritti nei gruppi dedicati a specifici settori, in cui alcuni membri, che si presume siano professionisti esperti in quel campo, pongono domande anziché esporre il loro punto di vista.

Uno degli argomenti più gettonati e maggiormente abusati è, appunto, la valutazione d’impatto sui dati personali. C’è chi si chiede ancora se si debba chiamare “PIA” o “DPIA”, chi si pone l’annoso problema su chi debba effettuarla, chi domanda quando va fatta. Domande più che legittime, a cui poche risposte suonano in modo sensibilmente differente da quanto una qualsiasi persona di buon senso potrebbe arrivare a concepire se solamente leggesse  – e capisse cosa ha letto – il GDPR.

Molte risposte si limitano a dire che la PIA deve essere fatta solo quando ci sono rischi elevati per i diritti e le libertà delle persone fisiche.

Allora la domanda più logica, che verrebbe in mente a un incompetente, è: cioè? Quali sono questi rischi? E a questo punto, solitamente, arriva una seconda risposta che grossomodo è sintetizzabile con “i rischi sulla privacy: accesso non autorizzato, cancellazione o perdita del dato, modifica, divulgazione…”, ovvero quelli che siamo stati abituati a considerare, soprattutto in funzione degli standard in materia di sicurezza informatica.

NO!

I rischi per i diritti e le libertà delle persone fisiche non sono (solo) quelli.

Non è il caso di elencarli qui di seguito, ma invito i lettori a riflettere su questi due esempi concreti.

Il primo esempio riguarda i trattamenti effettuati durante le elezioni (se qualcuno è convinto che non ne vengano fatti, gli consiglio caldamente di procedere nella lettura). Cosa accadrebbe all’intera comunità identificata nella Repubblica Italiana se qualcuno si prendesse la briga di non trattare come previsto i dati personali nei seggi elettorali?

Vi ricordo che:

  • Al momento del controllo dell’identità si effettuano almeno l’acquisizione e il confronto dei dati indicati sul documento d’identità, sulla tessera elettorale e sul registro del seggio; e che
  • Fintanto che la scheda elettorale compilata rimane nelle mani dell’elettore è un dato sensibile.

Non veniamo a raccontarci la favola che non esiste il rischio che qualcuno voti più volte o faccia vedere a qualcun altro cosa ha votato.

Il secondo esempio lo riporto testualmente da un articolo pubblicato sul sito del quotidiano torinese La Stampa, il 3 marzo3, in cui praticamente si racconta la storia di due gemelli che per l’ordinamento giuridico italiano non esistono e non possono acquisire diritti personali, né fondamentali, né di alcun altro tipo:

Un ufficio del Comune di Torino ha negato la trascrizione dell’atto di nascita di due gemelli nati in Canada da una coppia di uomini con il sistema della gestazione per altri: l’atto era già stato trascritto per il padre biologico e non è stato esteso all’altro genitore. Palazzo Civico precisa che «le indicazioni date agli uffici erano di eseguire la trascrizione senza indugio. È una questione tecnica che affronteremo e risolveremo». Uno dei motivi del diniego, secondo quanto si è appreso, si richiama alla legge 40 sulla procreazione assistita, che vieta la surrogazione di maternità (permessa in Canada).

«Si tratta – viene spiegato – di una questione puramente tecnica a cui si sta cercando di porre rimedio sia per questo caso, sul quale stiamo lavorando per rimettervi mano, sia per il futuro».

L’amministrazione spiega anche che «non appena si è avuto sentore di casi simili, la Città ha presentato una interrogazione al ministero dell’Interno e allAnusca, l’associazione degli stati civili e anagrafi». «Inoltre – aggiungono – si sta valutando la possibilità di intraprendere una costituzione di parte civile a fianco delle coppie che richiedono il riconoscimento dei figli per far sì che le decisioni dei tribunali valgano anche per gli uffici comunali. Stiamo valutando tutte le strade possibili per risolvere questa problematica tecnica».

  1. Privacy Impact Assessment
  2. Data Protection Impact Assessment
  3. Così come risulta a seguito della modifica delle ore 16:09 del 03/03/2018.