DPIA e valutazione del rischio elevato

DPIA e valutazione del rischio elevato

DPIA e valutazione del rischio elevato

Nel precedente articolo abbiamo parlato della DPIA, ossia della valutazione d’impatto sulla protezione dei dati personali. Abbiamo anche visto come questo tema si ricolleghi a quello di accountability.

Come anticipato, oggi parleremo di un argomento molto importante. Ossia dei 9 criteri che ci servono per valutare se eseguire un certo trattamento possa portare ad un rischio elevato per i diritti e le libertà delle persone fisiche.Abbiamo già visto che solo in presenza di questa tipologia di rischio vi è l’obbligo di effettuare il Data Protection Impact Assessment.

Tuttavia, è importante sottolineare che anche se riscontrassimo uno di questi criteri, questo non porterebbe ad affermare che si tratti di rischio elevato anche se è molto probabile. Infatti, per configurarsi con certezza la fattispecie “rischio elevato”, e sussistere l’obbligo di fare la DPIA in capo al titolare del trattamento, è necessaria la sussistenza di almeno 2 criteri su 9.

I 9 criteri di valutazione del rischio elevato

Diciamo subito una cosa: questi non sono criteri frutto della fantasia di qualcuno. È infatti stato il Gruppo di lavoro Art. 29 ad aver elaborato questi criteri all’interno del WP248. Partiamo adesso con analizzarli uno per uno:

  1. Profilazione: se la profilazione porta ad una valutazione o assegnazione di un punteggio, in particolare del rendimento professionale ma anche della salute, degli interessi personali ecc…
  2. Trattamento che prevede un processo decisionale automatizzato: quando ciò vada ad incidere in modo significativo sulle persone fisiche.
  3. Monitoraggio sistematico:  ossia monitorare gli interessati e raccogliere i loro dati senza che loro lo sappiano. Un esempio è il tracciamento attraverso l’utilizzo del GPS.
  4. Dati sensibili o altamente personali: cioè dati come ad esempio le informazioni sulle opinioni politiche.
  5. Trattamenti su larga scala: di base si potrebbe trattare di trattamenti che non rappresenterebbero un rischio elevato. Ma l’essere su larga scala determina questo rischio. Rientrano in questa fattispecie, la durata cioè la persistenza dell’attività di trattamento e la sua estensione geografica.
  6. Estrazione dell’informazione nascosta: attraverso l’utilizzo delle nuove tecnologie (come gli strumenti di business intelligence), dall’elaborazione dei dati è possibile estrapolare informazioni nascoste.
  7. Interessi vulnerabili: cioè uno squilibrio di potere nella relazione tra l’interessato ed il titolare del trattamento. Ad esempio: se l’interessato è un malato, un minore, un dipendente o un anziano.
  8. Nuove tecnologie.
  9. Trattamento che impedisce di esercitare un diritto.

 

 

Contattaci subito per un preventivo

10 + 3 =

Il DPO (Data Protection Officer) nel GDPR

Il DPO (Data Protection Officer) nel GDPR

Il DPO (Data Protection Officer) nel GDPR

In due precedenti articoli abbiamo affrontato la tematica del titolare del trattamento dei dati. Adesso parleremo del DPO (Data Protection Officer), che è una figura che lavora a stretto contatto col titolare.

DPO e GDPR

La figura del DPO è regolata dagli artt. 37, 38 e 39 del GDPR. È un manager esperto della protezione dei dati. Deve avere una conoscenza trasversale e multidisciplinare: giuridica, informatica, ingegneristica ed economica. Se opera in ambito pubblico deve poi avere conoscenza delle procedure amministrative.

È sempre obbligatoria la presenza del DPO in un’organizzazione?

No. Ci sono casi nei quali è necessaria la presenza di un DPO. Ma in altri casi no. Sta al titolare il compito di verificare i requisiti a fronte dei quali è obbligatoria la designazione. Dell’obbligo di designazione del DPO troviamo dei riferimenti anche nelle linee guida. Tra i casi nei quali è previsto l’obbligo di dotarsi di un DPO troviamo le pubbliche amministrazioni

Qual’è il compito del DPO?

Sorvegliare la corretta applicazione del GDPR all’interno dell’organizzazione per la quale opera. Per questo promuove l’adozione degli strumenti di accountability. Strumenti, questi, di cui abbiamo già parlato in articoli precedenti:

  1. i registri delle attività di trattamento;
  2. valutazioni d’impatto dei trattamenti sulla protezione dei dati: l’art. 35, par. 2 del GDPR attribuisce al titolare del trattamento il compito di svolgere questa valutazione. Il DPO per questo articolo dovrebbe essere unicamente consultato in merito alla correttezza di questa valutazione. Tuttavia, nella pratica, quando è designato un DPO, è questo a fare la DPIA. Infatti quest’ultimo ha le competenze per capire come ridurre il rischio d’impresa e quindi fare una corretta valutazione d’impatto.
  3. elaborazione di modelli organizzativi;
  4. le certificazioni.

Legame tra Data Protection Officer e Titolare del trattamento

Il DPO deve relazionarsi col titolare del trattamento in quanto deve a lui rendere conto del suo operato. Il Data Protection Officer può essere sia una figura interna che una figura esterna all’azienda per la quale presta i suoi servizi. Nel caso sia un DPO interno, il GDPR lo tutela garantendogli indipendenza che lo mette al sicuro da eventuali dissapori che possono nascere col titolare del trattamento.

 

Contattaci subito per un preventivo

11 + 1 =

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati personali

Legame tra accountability e DPIA

Il precedente articolo era incentrato sul concetto di accountability. In questo, parleremo della valutazione d’impatto sulla protezione dei dati personali. Il motivo per il quale vedremo oggi questa tematica, è che è strettamente legata al principio di accountability. Infatti, la valutazione d’impatto, è un documento che dimostra se il titolare è stato responsabile nella progettazione del trattamento. Questo tema è conosciuto anche con il nome di DPIA (data protection impact assessment), ed è lo strumento di prevenzione più potente previsto dal GDPR che si basa sulla valutazione dei rischi.

Ma quali rischi?

I rischi sono quelli ai quali possono andare incontro i dati personali nel momento in cui vengono trattati. Quindi, il fatto che il titolare del trattamento debba valutare questi rischi, gli permette di offrire una maggiore tutela ai dati dell’interessato.

Documentazione della valutazione d’impatto

Questa valutazione deve essere sempre documentata nel Registro dei trattamenti. In questo registro devono essere inserite anche le misure di sicurezza. Ciò consente di responsabilizzare il titolare in quanto prende consapevolezza di quello che sta facendo. Nel caso in cui venga poi fatta una ispezione, è probabile che l’ispettore chieda che gli venga fornito il Registro dei trattamenti.

Quando abbiamo l’obbligo di fare la DPIA?

Per i trattamenti di dati personali “normali”, non vi è questo obbligo. Invece, per i trattamenti di dati personali che il Codice Privacy definisce “sensibili” è previsto l’obbligo di fare la valutazione d’impatto.

Ma perché?

Perché in questo caso il trattamento dei dati personali determina un rischio elevato per la tutela dei dati. Purtroppo il concetto di “rischio elevato” non è definito dal GDPR.

Qual’è il momento giusto per redigere la valutazione d’impatto?

La DPIA deve essere fatta prima che il trattamento dei dati abbia luogo. Sono tre le motivazioni che ci portano a dire questo:

  1. capire se il trattamento che vogliamo porre in essere sia o no lecito.
  2. individuare quali sono i rischi che eventualmente il trattamento presenta.
  3. comprendere come mitigare i rischi.

 

Nel prossimo articolo parleremo dei 9 criteri in base ai quali è probabile che ci troveremo di fronte ad un rischio elevato che giustifichi l’obbligo di redigere una DPIA.

Contattaci subito per un preventivo

1 + 13 =

Il contitolare del trattamento nel GDPR

Il contitolare del trattamento nel GDPR

Il contitolare del trattamento

I soggetti preposti al trattamento dei dati personali

Il contitolare del trattamento, insieme al titolare e al responsabile del trattamento sono i tre soggetti preposti al trattamento dei dati personali.

Del titolare ne abbiamo già parlato in due articoli:

  1. Il titolare del trattamento nel GDPR;
  2. Titolare del trattamento e adempimenti.

Oggi parleremo della figura del contitolare del trattamento.

Il contitolare del trattamento nel GDPR

Il GDPR disciplina questa figura all’art. 26 del GDPR il quale al comma 1 ci dice che:

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito alla osservanza degli obblighi…

Da questa prima parte del comma 1 si evince quindi che i contitolari sono dei titolari che insieme stabiliscono le finalità e i mezzi del trattamento. Elemento centrale di questo rapporto è l’accordo interno che si instaura tra le parti. Tale accordo ha una natura contrattuale e deve disciplinare il rispettivo ambito di responsabilità dei contitolari. Gli interessati hanno il diritto di rivolgersi indifferentemente a uno qualsiasi dei titolari che operano congiuntamente. Inoltre come dice l’art. 26 al comma 3, l’interessato può esercitare i propri diritti nei confronti e contro ciascun titolare del trattamento. Le responsabilità i contitolari le hanno poi anche verso i soggetti terzi, e perciò è indispensabile capire chi deve fare cosa nell’ambito di questo rapporto paritetico.

Gli adempimenti dei contitolari

Sono gli stessi dei titolari:

  1. Registro delle attività di trattamento (art. 30);
  2. DPIA e consultazione preventiva (artt. 35-36);
  3. DPO (artt. 37-39)
  4. Sicurezza dei dati personali (artt. 32-34)

Nella categoria della sicurezza dei dati personali rientra l’obbligo di comunicazione al Garante del data breach.

Qual’è il senso della contitolarità?

Sentire la necessità di una gestione comune, fermo restando le prerogative di ognuno dei contitolari. Ad esempio, in alcuni casi può essere avvertita la necessità di condividere i data base, mentre in altri questi vengono tenuti staccati. Nel momento in cui si decidesse per condividere il data base sarebbe come dire: ” dammi quel dato di cui ho bisogno” e viceversa. Ciò che è importante per parlare di contitolare del trattamento, è che nessuno di essi sia subordinato ad un altro. Altrimenti non c’è più contitolarità. All’opposto, vi è una sinergia di soggetti paritetici che hanno capacità decisionale paritetica.

 

 

Contattaci subito per un preventivo

3 + 4 =

Call Now Button
Open chat