fbpx
Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati personali

Legame tra accountability e DPIA

Il precedente articolo era incentrato sul concetto di accountability. In questo, parleremo della valutazione d’impatto sulla protezione dei dati personali. Il motivo per il quale vedremo oggi questa tematica, è che è strettamente legata al principio di accountability. Infatti, la valutazione d’impatto, è un documento che dimostra se il titolare è stato responsabile nella progettazione del trattamento. Questo tema è conosciuto anche con il nome di DPIA (data protection impact assessment), ed è lo strumento di prevenzione più potente previsto dal GDPR che si basa sulla valutazione dei rischi.

Ma quali rischi?

I rischi sono quelli ai quali possono andare incontro i dati personali nel momento in cui vengono trattati. Quindi, il fatto che il titolare del trattamento debba valutare questi rischi, gli permette di offrire una maggiore tutela ai dati dell’interessato.

Documentazione della valutazione d’impatto

Questa valutazione deve essere sempre documentata nel Registro dei trattamenti. In questo registro devono essere inserite anche le misure di sicurezza. Ciò consente di responsabilizzare il titolare in quanto prende consapevolezza di quello che sta facendo. Nel caso in cui venga poi fatta una ispezione, è probabile che l’ispettore chieda che gli venga fornito il Registro dei trattamenti.

Quando abbiamo l’obbligo di fare la DPIA?

Per i trattamenti di dati personali “normali”, non vi è questo obbligo. Invece, per i trattamenti di dati personali che il Codice Privacy definisce “sensibili” è previsto l’obbligo di fare la valutazione d’impatto.

Ma perché?

Perché in questo caso il trattamento dei dati personali determina un rischio elevato per la tutela dei dati. Purtroppo il concetto di “rischio elevato” non è definito dal GDPR.

Qual’è il momento giusto per redigere la valutazione d’impatto?

La DPIA deve essere fatta prima che il trattamento dei dati abbia luogo. Sono tre le motivazioni che ci portano a dire questo:

  1. capire se il trattamento che vogliamo porre in essere sia o no lecito.
  2. individuare quali sono i rischi che eventualmente il trattamento presenta.
  3. comprendere come mitigare i rischi.

 

Nel prossimo articolo parleremo dei 9 criteri in base ai quali è probabile che ci troveremo di fronte ad un rischio elevato che giustifichi l’obbligo di redigere una DPIA.

Contattaci subito per un preventivo

2 + 5 =

Privacy by design e GDPR

Privacy by design e GDPR

Privacy by design e GDPR

In un precedente articolo abbiamo già accennato al concetto di privacy by design. Avevamo detto che privacy by design significa proteggere i dati fin dalla loro progettazione. Ossia il trattamento prima di metterlo in atto va pensato per capire come proteggere i dati. Una misura che rappresenta questa tipologia di privacy è quella della pseudonimizzazione.

Art. 25, par. 1: privacy by design

Oggi parleremo più approfonditamente di questa tematica. Innanzitutto, possiamo trovare la privacy by design all’art. 25, par. 1 del GDPR, e la sua traduzione in italiano è protezione dei dati fin dalla progettazione.

La privacy by design deve essere attuata tenendo conto:

  1. dello stato dell’arte e dei costi di attuazione;

  2. della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento;

  3. dei rischi aventi probabilità e gravità diverse di verificarsi che possano andare ad incidere sui diritti e sulle liberà delle persone fisiche.

I rischi

La tematica dei rischi la avevamo già affrontata in due precedenti articoli:

Il GDPR fa spesso riferimento al concetto di rischio e di rischio elevato. Infatti potremmo dire che le due colonne portanti in tema di protezione dei dati personali sono:

  1. da un lato i rischi;
  2. dall’altro il tema della responsabilizzazione.

Se perciò volessimo sintetizzare questo concetto, potremmo scrivere la seguente equazione:

Accountability + Risck-based approch = Privacy/ Data protection impact assessment

Quando deve essere attuata la protezione dei dati fin dalla progettazione? Quali sono le sue caratteristiche?

Fin dal momento dell’inizio del trattamento. Infatti per valutare se si è conformi al GDPR, la privacy è necessario che sia incorporata nella progettazione del prodotto stesso. Cioè si dovrebbe poter valutare la conformità del nostro trattamento fin dall’inizio della progettazione del prodotto o del servizio o dell’offerta. E tale valutazione si deve basare su una documentazione.

Altro punto fermo importante è quello di garantire la sicurezza del prodotto o del servizio lungo tutta la sua vita. Quindi se ad esempio vi è stato il rischio di cyber attack, ci deve essere la possibilità di prevedere una distruzione dei dati conservati in un determinato dispositivo.

Contattaci subito per un preventivo

8 + 6 =

La profilazione nel GDPR e nelle Linee Guida

La profilazione nel GDPR e nelle Linee Guida

La profilazione nel GDPR e nelle Linee Guida

Il concetto di profilazione

Prima di trattare la profilazione nel GDPR e nelle Linee guida, poniamoci una domanda: Perché è importante parlare di questo argomento? Perché la profilazione è una tipologia di trattamento, che si sostanzia nel modo di raccogliere dati su una persona. I dati raccolti sono di varia natura, come ad esempio quelli sul comportamento e sulle abitudini delle persone. L’obiettivo della profilazione è di usare questi dati, che si trovano disseminati ovunque, per creare un profilo dei vari individui.

Ma quindi a cosa serve la profilazione? Il WP 251 ci dice: “a valutare gli aspetti personali di una persona fisica”. Detto ciò, partiamo da un assunto: i dati oggi hanno un valore importantissimo.

Giuseppe Busia sottolinea come tra i motivi per i quali i dati hanno valore, ci sia quello economico: “dopo l’oro giallo e l’oro nero…la profilazione.” Infatti i dati  e la profilazione che da essi deriva, possono dire a chi offre un determinato servizio, quanto l’utente X sia disposto a spendere per un bene. A tale utente potranno quindi essere fatte delle offerte su misura. Si crea quindi una asimmetria informativa. Infatti, chi offre il servizio conosce quanto l’utente possa pagare,  ma l’utente in questione non sa a quale offerta migliore potrebbe aspirare.

Ma come dice sempre Busia, la raccolta dei dati ha un valore anche politico. In questo senso gioca un ruolo importante la pubblicità. Questa infatti, può essere fatta per scopi commerciali per indirizzare l’utente a comprare un certo bene o servizio. Ma può essere fatta anche per scopi politici. Se attraverso i dati risulta palese l’orientamento politico di una persona, sarà semplice con la pubblicità influenzare il suo voto

La profilazione nel GDPR

L’art. 4 paragrafo 4 del GDPR definisce la profilazione come:

qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute,le preferenze personali, gli interessi ⌊…⌋

Dalla lettura di questo articolo possiamo vedere che la profilazione si compone di 3 elementi:

  • una qualsiasi forma di trattamento automatizzato: quindi da questa fattispecie non è ecluso che possa esserci anche il coinvolgimento umano. Questa è una concezione opposta rispetto a quella prevista dall’art. 22 del GDPR. In quest’ultimo caso infatti, il trattamento deve essere esclusivamente automatizzato. Senza quindi possibilità di intervento da parte di una persona fisica.
  • “deve essere effettuato su dati personali” come ci dice il WP 251.
  • si ha profilazione solo se si valutano gli aspetti personali di una persona fisica. Da ciò deriva che se lo scopo è diverso dalla valutazione, non si può parlare di profilazione.

La profilazione viene anche usata, come ci dice il WP 251: “per fare previsioni sulle persone, usando dati provenienti da varie fonti  per dedurre  qualcosa su un individuo, in base alle qualità di altri che appaiono statisticamente simili”.

La profilazione nelle Linee Guida: il WP 251

Queste Linee Guida hanno lo scopo di chiarire le disposizioni del GDPR relative ai rischi derivanti  dalla profilazione.

Tali rischi possono derivare:

  •  dalla possibilità che “sia la profilazione  che i processi decisionali automatizzati possono incidere in modo significativo sui diritti e sulle libertà delle persone”.
  • “gli individui potrebbero non sapere di essere profilati“.
  • “la profilazione può portare a previsioni imprecise.”
  • “la profilazione può portare a negare servizi e beni e discriminazioni ingiustificate.”

Conclusioni

Come ogni norma giuridica che si rispetti, la necessità che si pone con riferimento al GDPR e quindi anche alla profilazione, è quella di un bilanciamento di interessi.

Se da un lato, le persone con la profilazione vengono assoggettate a tanti rischi, come contropartita il GDPR prevede garanzie a tutela delle persone.

Ad esempio l’art. 5 del GDPR afferma la necessità che l’elaborazione dei dati debba essere trasparente.

Abbiamo poi l’art. 12 del GDPR che riprende il principio di trasparenza ma questa volta con riferimento alle informazioni che il titolare del trattamento deve fornire agli interessati. In più questo articolo ci dice che le informazioni debbano essere anche concise ed intellegibili. Ciò vuol dire che “agli individui deve essere spiegato in modo chiaro e semplice come funzioni la profilazione.”

L’art. 15 del GDPR infine ci dice che “l’interessato ha diritto di ottenere informazioni dettagliate sui dati personali utilizzati per la profilazione”.

Contattaci subito per un preventivo

8 + 2 =

Call Now Button
Open chat