DPIA e valutazione del rischio elevato

DPIA e valutazione del rischio elevato

DPIA e valutazione del rischio elevato

Nel precedente articolo abbiamo parlato della DPIA, ossia della valutazione d’impatto sulla protezione dei dati personali. Abbiamo anche visto come questo tema si ricolleghi a quello di accountability.

Come anticipato, oggi parleremo di un argomento molto importante. Ossia dei 9 criteri che ci servono per valutare se eseguire un certo trattamento possa portare ad un rischio elevato per i diritti e le libertà delle persone fisiche.Abbiamo già visto che solo in presenza di questa tipologia di rischio vi è l’obbligo di effettuare il Data Protection Impact Assessment.

Tuttavia, è importante sottolineare che anche se riscontrassimo uno di questi criteri, questo non porterebbe ad affermare che si tratti di rischio elevato anche se è molto probabile. Infatti, per configurarsi con certezza la fattispecie “rischio elevato”, e sussistere l’obbligo di fare la DPIA in capo al titolare del trattamento, è necessaria la sussistenza di almeno 2 criteri su 9.

I 9 criteri di valutazione del rischio elevato

Diciamo subito una cosa: questi non sono criteri frutto della fantasia di qualcuno. È infatti stato il Gruppo di lavoro Art. 29 ad aver elaborato questi criteri all’interno del WP248. Partiamo adesso con analizzarli uno per uno:

  1. Profilazione: se la profilazione porta ad una valutazione o assegnazione di un punteggio, in particolare del rendimento professionale ma anche della salute, degli interessi personali ecc…
  2. Trattamento che prevede un processo decisionale automatizzato: quando ciò vada ad incidere in modo significativo sulle persone fisiche.
  3. Monitoraggio sistematico:  ossia monitorare gli interessati e raccogliere i loro dati senza che loro lo sappiano. Un esempio è il tracciamento attraverso l’utilizzo del GPS.
  4. Dati sensibili o altamente personali: cioè dati come ad esempio le informazioni sulle opinioni politiche.
  5. Trattamenti su larga scala: di base si potrebbe trattare di trattamenti che non rappresenterebbero un rischio elevato. Ma l’essere su larga scala determina questo rischio. Rientrano in questa fattispecie, la durata cioè la persistenza dell’attività di trattamento e la sua estensione geografica.
  6. Estrazione dell’informazione nascosta: attraverso l’utilizzo delle nuove tecnologie (come gli strumenti di business intelligence), dall’elaborazione dei dati è possibile estrapolare informazioni nascoste.
  7. Interessi vulnerabili: cioè uno squilibrio di potere nella relazione tra l’interessato ed il titolare del trattamento. Ad esempio: se l’interessato è un malato, un minore, un dipendente o un anziano.
  8. Nuove tecnologie.
  9. Trattamento che impedisce di esercitare un diritto.

 

 

Contattaci subito per un preventivo

14 + 2 =

Il DPO (Data Protection Officer) nel GDPR

Il DPO (Data Protection Officer) nel GDPR

Il DPO (Data Protection Officer) nel GDPR

In due precedenti articoli abbiamo affrontato la tematica del titolare del trattamento dei dati. Adesso parleremo del DPO (Data Protection Officer), che è una figura che lavora a stretto contatto col titolare.

DPO e GDPR

La figura del DPO è regolata dagli artt. 37, 38 e 39 del GDPR. È un manager esperto della protezione dei dati. Deve avere una conoscenza trasversale e multidisciplinare: giuridica, informatica, ingegneristica ed economica. Se opera in ambito pubblico deve poi avere conoscenza delle procedure amministrative.

È sempre obbligatoria la presenza del DPO in un’organizzazione?

No. Ci sono casi nei quali è necessaria la presenza di un DPO. Ma in altri casi no. Sta al titolare il compito di verificare i requisiti a fronte dei quali è obbligatoria la designazione. Dell’obbligo di designazione del DPO troviamo dei riferimenti anche nelle linee guida. Tra i casi nei quali è previsto l’obbligo di dotarsi di un DPO troviamo le pubbliche amministrazioni

Qual’è il compito del DPO?

Sorvegliare la corretta applicazione del GDPR all’interno dell’organizzazione per la quale opera. Per questo promuove l’adozione degli strumenti di accountability. Strumenti, questi, di cui abbiamo già parlato in articoli precedenti:

  1. i registri delle attività di trattamento;
  2. valutazioni d’impatto dei trattamenti sulla protezione dei dati: l’art. 35, par. 2 del GDPR attribuisce al titolare del trattamento il compito di svolgere questa valutazione. Il DPO per questo articolo dovrebbe essere unicamente consultato in merito alla correttezza di questa valutazione. Tuttavia, nella pratica, quando è designato un DPO, è questo a fare la DPIA. Infatti quest’ultimo ha le competenze per capire come ridurre il rischio d’impresa e quindi fare una corretta valutazione d’impatto.
  3. elaborazione di modelli organizzativi;
  4. le certificazioni.

Legame tra Data Protection Officer e Titolare del trattamento

Il DPO deve relazionarsi col titolare del trattamento in quanto deve a lui rendere conto del suo operato. Il Data Protection Officer può essere sia una figura interna che una figura esterna all’azienda per la quale presta i suoi servizi. Nel caso sia un DPO interno, il GDPR lo tutela garantendogli indipendenza che lo mette al sicuro da eventuali dissapori che possono nascere col titolare del trattamento.

 

Contattaci subito per un preventivo

15 + 1 =

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati personali

Legame tra accountability e DPIA

Il precedente articolo era incentrato sul concetto di accountability. In questo, parleremo della valutazione d’impatto sulla protezione dei dati personali. Il motivo per il quale vedremo oggi questa tematica, è che è strettamente legata al principio di accountability. Infatti, la valutazione d’impatto, è un documento che dimostra se il titolare è stato responsabile nella progettazione del trattamento. Questo tema è conosciuto anche con il nome di DPIA (data protection impact assessment), ed è lo strumento di prevenzione più potente previsto dal GDPR che si basa sulla valutazione dei rischi.

Ma quali rischi?

I rischi sono quelli ai quali possono andare incontro i dati personali nel momento in cui vengono trattati. Quindi, il fatto che il titolare del trattamento debba valutare questi rischi, gli permette di offrire una maggiore tutela ai dati dell’interessato.

Documentazione della valutazione d’impatto

Questa valutazione deve essere sempre documentata nel Registro dei trattamenti. In questo registro devono essere inserite anche le misure di sicurezza. Ciò consente di responsabilizzare il titolare in quanto prende consapevolezza di quello che sta facendo. Nel caso in cui venga poi fatta una ispezione, è probabile che l’ispettore chieda che gli venga fornito il Registro dei trattamenti.

Quando abbiamo l’obbligo di fare la DPIA?

Per i trattamenti di dati personali “normali”, non vi è questo obbligo. Invece, per i trattamenti di dati personali che il Codice Privacy definisce “sensibili” è previsto l’obbligo di fare la valutazione d’impatto.

Ma perché?

Perché in questo caso il trattamento dei dati personali determina un rischio elevato per la tutela dei dati. Purtroppo il concetto di “rischio elevato” non è definito dal GDPR.

Qual’è il momento giusto per redigere la valutazione d’impatto?

La DPIA deve essere fatta prima che il trattamento dei dati abbia luogo. Sono tre le motivazioni che ci portano a dire questo:

  1. capire se il trattamento che vogliamo porre in essere sia o no lecito.
  2. individuare quali sono i rischi che eventualmente il trattamento presenta.
  3. comprendere come mitigare i rischi.

 

Nel prossimo articolo parleremo dei 9 criteri in base ai quali è probabile che ci troveremo di fronte ad un rischio elevato che giustifichi l’obbligo di redigere una DPIA.

Contattaci subito per un preventivo

1 + 4 =

Dati personali e GDPR

Dati personali e GDPR

I dati personali nel GDPR

Tipologie e caratteristiche dei dati

Tipologie di dati

Ogni dato per essere tale deve avere la capacità di descrivere un elemento. Ovviamente a questa definizione si riferiscono anche i dati personali. Ci sono varie tipologie di dati.

  1. Abbiamo i raw data sono quei dati non processati che possono anche essere definiti dati grezzi.
  2. I data set o linked data sono invece quelli che sono collegati fra loro e che possono essere letti solo in combinato tra loro. Un esempio di questa tipologia di dati fa riferimento al concetto di pseudonimizzazione. Questa è una misura tecnica che presuppone che due dati vengano letti assieme. Poi, oscurando uno dei due dati è concesso al titolare del trattamento di usare l’altro.
  3. real data sono quei dati che rappresentano un momento della storia che si è concluso oppure sono la descrizione di una realtà attuale. I cosiddetti real time data.
  4. Si parla poi anche di open data, ossia di dati liberamente accessibili e fruibili. Per contro abbiamo i dati proprietari. Questi possono essere utilizzati solo da chi ne detiene la proprietà o da chi ha avuto una concessione di licenza.

Caratteristiche dei dati

Ogni dato personale deve avere diverse caratteristiche per essere oggetto di applicazione delle disposizioni del GDPR:

  • Interoperabilità: ossia consentire a chiunque indipendentemente dal sistema operativo nel quale sta operando, di fruire di quel dato e di operarvi. Quindi di modificarlo, rimetterlo in rete ecc…
  • Accessibilità: è una caratteristica che fa riferimento ai formati non proprietari. Tutti i materiali sono accessibili al pubblico e vengono messi a disposizione attraverso l’impiego di standard aperti e formati non proprietari.
  • Conservazione a lungo termine: è la caratteristica dei dati personali di essere mantenuta dentro un archivio conservando le sue proprietà. Quelle cioè di chiarezza, completezza, integrità e univocità del dato.
  • Sicurezza: a tal proposito il GDPR prevede tre elementi che vanno a definire il concetto di sicurezza:
  1. confidentiality (riservatezza);
  2. integrity (integrità);
  3. availability (dato reso disponibile).

Il d.lgs 196/2003 prevede in più altre 3 caratteristiche afferenti al tema della                sicurezza:

  1. autenticità;
  2. non ripudiabilità: il dato deve cioè essere sempre veritiero. In questo modo l’interessato non è mai messo in condizione di poter ripudiare quel dato;
  3. completezza.

I dati personali come dati qualitativi

Queste caratteristiche che distinguono i dati, sono state standardizzate dall’organizzazione internazionale degli standard ISO.

Quindi, i dati personali che soddisfano i requisiti di interoperabilità, accessibilità, conservazione a lungo termine e sicurezza sono dati che qualitativamente rispettano le caratteristiche previste dal GDPR.

Contattaci subito per un preventivo

2 + 9 =

Il processo decisionale automatizzato nel GDPR

Il processo decisionale automatizzato nel GDPR

Il processo decisionale automatizzato nel GDPR

Cos’è il processo decisionale automatizzato?

Il processo decisionale automatizzato è un meccanismo che assume decisioni in maniera automatica e quindi è riconducibile ad un software di assunzione delle decisioni. Quindi, come ha detto anche il GDPR in questi processi la decisione è assunta da un algoritmo, da un mezzo tecnologico, e non vi è l’intermediazione umana.

Collegamento tra processo decisionale automatizzato e trattamento dei dati

Come si può capire da quanto appena detto, si crea un collegamento tra questo processo ed il trattamento dei dati. Infatti i dati o sono:

  1. stati forniti dalle persone interessate;
  2. raccolti da programmi che monitorano i nostri comportamenti e spostamenti come i programmi di geo-localizzazione.
  3. stati raccolti basandosi su un trattamento di dati precedente che ha dato luogo ad una profilazione. Ad esempio possiamo parlare di un prestito che viene rilasciato sulla base del calcolo di un algoritmo, che si riferisce ad una precedente profilazione che è stata fatta dell’individuo, per capire ad esempio quale sia la sua affidabilità creditizia.

L’art. 22 par. 1 del GDPR

Questo articolo ci dice che:

l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla persona.

Perché questo articolo vieta le decisioni basate unicamente su trattamenti automatizzati?

Perché possono crearsi effetti sulla libertà di opinione e di espressione, come anche effetti discriminatori, quali ad esempio l’esclusione dall’accesso a certi benefici.

L’art. 22 par. 2 del GDPR

Questo articolo legittima delle eccezioni al divieto posto dall’art. 22, par. 1 sul processo decisionale automatizzato. Infatti qui si dice che:

Il paragrafo 1 non si applica nel caso in cui la decisione:

a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;

b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;

c) si basi sul consenso esplicito dell’interessato.

La lettera c) nel far riferimento al consenso esplicito, si riferisce ad un consenso consapevole. Questo significa che il titolare deve poter mostrare una documentazione che dimostri tale consapevolezza.

Contattaci subito per un preventivo

5 + 14 =

Call Now Button
Open chat