DPIA e valutazione del rischio elevato

DPIA e valutazione del rischio elevato

DPIA e valutazione del rischio elevato

Nel precedente articolo abbiamo parlato della DPIA, ossia della valutazione d’impatto sulla protezione dei dati personali. Abbiamo anche visto come questo tema si ricolleghi a quello di accountability.

Come anticipato, oggi parleremo di un argomento molto importante. Ossia dei 9 criteri che ci servono per valutare se eseguire un certo trattamento possa portare ad un rischio elevato per i diritti e le libertà delle persone fisiche.Abbiamo già visto che solo in presenza di questa tipologia di rischio vi è l’obbligo di effettuare il Data Protection Impact Assessment.

Tuttavia, è importante sottolineare che anche se riscontrassimo uno di questi criteri, questo non porterebbe ad affermare che si tratti di rischio elevato anche se è molto probabile. Infatti, per configurarsi con certezza la fattispecie “rischio elevato”, e sussistere l’obbligo di fare la DPIA in capo al titolare del trattamento, è necessaria la sussistenza di almeno 2 criteri su 9.

I 9 criteri di valutazione del rischio elevato

Diciamo subito una cosa: questi non sono criteri frutto della fantasia di qualcuno. È infatti stato il Gruppo di lavoro Art. 29 ad aver elaborato questi criteri all’interno del WP248. Partiamo adesso con analizzarli uno per uno:

  1. Profilazione: se la profilazione porta ad una valutazione o assegnazione di un punteggio, in particolare del rendimento professionale ma anche della salute, degli interessi personali ecc…
  2. Trattamento che prevede un processo decisionale automatizzato: quando ciò vada ad incidere in modo significativo sulle persone fisiche.
  3. Monitoraggio sistematico:  ossia monitorare gli interessati e raccogliere i loro dati senza che loro lo sappiano. Un esempio è il tracciamento attraverso l’utilizzo del GPS.
  4. Dati sensibili o altamente personali: cioè dati come ad esempio le informazioni sulle opinioni politiche.
  5. Trattamenti su larga scala: di base si potrebbe trattare di trattamenti che non rappresenterebbero un rischio elevato. Ma l’essere su larga scala determina questo rischio. Rientrano in questa fattispecie, la durata cioè la persistenza dell’attività di trattamento e la sua estensione geografica.
  6. Estrazione dell’informazione nascosta: attraverso l’utilizzo delle nuove tecnologie (come gli strumenti di business intelligence), dall’elaborazione dei dati è possibile estrapolare informazioni nascoste.
  7. Interessi vulnerabili: cioè uno squilibrio di potere nella relazione tra l’interessato ed il titolare del trattamento. Ad esempio: se l’interessato è un malato, un minore, un dipendente o un anziano.
  8. Nuove tecnologie.
  9. Trattamento che impedisce di esercitare un diritto.

 

 

Contattaci subito per un preventivo

14 + 3 =

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati personali

Legame tra accountability e DPIA

Il precedente articolo era incentrato sul concetto di accountability. In questo, parleremo della valutazione d’impatto sulla protezione dei dati personali. Il motivo per il quale vedremo oggi questa tematica, è che è strettamente legata al principio di accountability. Infatti, la valutazione d’impatto, è un documento che dimostra se il titolare è stato responsabile nella progettazione del trattamento. Questo tema è conosciuto anche con il nome di DPIA (data protection impact assessment), ed è lo strumento di prevenzione più potente previsto dal GDPR che si basa sulla valutazione dei rischi.

Ma quali rischi?

I rischi sono quelli ai quali possono andare incontro i dati personali nel momento in cui vengono trattati. Quindi, il fatto che il titolare del trattamento debba valutare questi rischi, gli permette di offrire una maggiore tutela ai dati dell’interessato.

Documentazione della valutazione d’impatto

Questa valutazione deve essere sempre documentata nel Registro dei trattamenti. In questo registro devono essere inserite anche le misure di sicurezza. Ciò consente di responsabilizzare il titolare in quanto prende consapevolezza di quello che sta facendo. Nel caso in cui venga poi fatta una ispezione, è probabile che l’ispettore chieda che gli venga fornito il Registro dei trattamenti.

Quando abbiamo l’obbligo di fare la DPIA?

Per i trattamenti di dati personali “normali”, non vi è questo obbligo. Invece, per i trattamenti di dati personali che il Codice Privacy definisce “sensibili” è previsto l’obbligo di fare la valutazione d’impatto.

Ma perché?

Perché in questo caso il trattamento dei dati personali determina un rischio elevato per la tutela dei dati. Purtroppo il concetto di “rischio elevato” non è definito dal GDPR.

Qual’è il momento giusto per redigere la valutazione d’impatto?

La DPIA deve essere fatta prima che il trattamento dei dati abbia luogo. Sono tre le motivazioni che ci portano a dire questo:

  1. capire se il trattamento che vogliamo porre in essere sia o no lecito.
  2. individuare quali sono i rischi che eventualmente il trattamento presenta.
  3. comprendere come mitigare i rischi.

 

Nel prossimo articolo parleremo dei 9 criteri in base ai quali è probabile che ci troveremo di fronte ad un rischio elevato che giustifichi l’obbligo di redigere una DPIA.

Contattaci subito per un preventivo

7 + 8 =

Call Now Button