GDPR: come fare un'efficace DPIA
ll trattamento di dati personali è un’attività pericolosa che comporta rischi per i diritti e le libertà fondamentali delle persone fisiche. Per questo motivo le imprese e le pubbliche amministrazioni che, hanno la responsabilità generale dei trattamenti, sono chiamate a valutare continuamente tutti i rischi inerenti e ad attuare adeguate misure per mitigarli. Inoltre, quando un tipo di trattamento può presentare un rischio elevato, prima di avviare l’attività, le stesse imprese e PA hanno l’obbligo di eseguire, come richiede il GDPR, una valutazione di impatto sulla protezione dei dati personali, la c.d. DPIA (Data Protection Impact Assessment).
Si tratta di un vero e proprio processo aziendale finalizzato a gestire i rischi per i diritti e le libertà delle persone fisiche, attraverso l’identificazione, l’analisi, la ponderazione, il trattamento ed il riesame dei rischi stessi.
Vediamo di seguito quando, perché e, soprattutto, come dovrebbe essere eseguita una buona DPIA, prendendo come imprescindibile ed indispensabile riferimento le Linee Guida WP248 rev. 01 adottate dal WP29 il 4 ottobre 2017.
Perchè e quando dovrebbe essere eseguita una DPIA
I Garanti Europei, nelle citate Linee Guida, precisano che la DPIA è uno strumento importante per la responsabilizzazione, in quanto sostiene i titolari del trattamento, non soltanto nel rispettare i requisiti del GDPR, ma anche nel dimostrare che sono state adottate misure appropriate per garantire il rispetto della normativa privacy.
In altre parole, una valutazione d’impatto sulla protezione dei dati è uno strumento di accountability, cioè un processo inteso a garantire e dimostrare la compliance al GDPR.
La DPIA deve sempre essere eseguita quando un singolo trattamento, o un insieme di trattamenti simili, presenti rischi elevati simili.
Come si identifica un rischio elevato? Il Considerando 75 riporta una casistica di scenari che descrivono rischi elevati, mentre l’art.35, paragrafo 3 del GDPR indica i casi in cui è richiesta l’esecuzione di una DPIA.
Inoltre, il provvedimento del Garante Privacy Italiano n. 467 dell’11.10.2018 riporta un dettagliato elenco delle tipologie di trattamenti soggetti al requisito di una “Valutazione d’impatto sulla Protezione dei Dati”.Quindi per comprendere quando sussista l’obbligo di avviare una DPIA, bisogna necessariamente consultare tali riferimenti.
La DPIA dei produttori/fornitori
Le Linee Guida WP 248 chiariscono che è possibile eseguire una DPIA anche su un prodotto tecnologico (e.g. un prodotto hardware e software) a cura dei produttori. Così, pur restando, ovviamente, impregiudicato l’obbligo del titolare di eseguire la propria valutazione di impatto, questa sarà comunque agevolata dalla possibilità di utilizzare le informazioni contenute nella DPIA del fornitore del prodotto.
Questa indicazione è complementare all’esortazione dei Garanti Europei che hanno chiaramente raccomandato ai “titolari” di non scegliere produttori o responsabili del trattamento che non offrano sistemi in grado di consentire o facilitare l’adempimento degli obblighi posti dall’articolo 25 GDPR (privacy by design e by default) in capo ai titolari stessi, poiché saranno sempre questi ultimi a rispondere dell’eventuale mancata attuazione.
Come dovrebbe essere sviluppata una DPIA
Il GDPR, all’art.35, par.7 e nei Considerando 84 e 90, ha fissato le caratteristiche minime di una DPIA per la cui esecuzione, i titolari possono ricorrere a metodologie diverse. Però, per poter essere effettivamente “compliant” al GDPR, gli stessi titolari devono necessariamente scegliere una metodologia che, comunque, deve essere conforme ai criteri fissati nell’allegato 2 alle Linee Guida WP248 rev.01.
Questa precisazione è molto importante poiché fa comprendere che l’utilizzo di specifici “tools” per l’esecuzione della DPIA, sia gratuiti che a pagamento, non consentono di realizzare la compliance se non sono perfettamente allineati ai criteri riportati nel citato Allegato 2 delle Linee Guida WP248.
Ecco perché detti criteri vengono, quindi, di seguito strutturati ed analiticamente descritti sotto forma di steps/adempimenti da realizzare al fine di sviluppare correttamente il processo di valutazione di impatto.
Primo Step: descrizione sistematica del trattamento
In questa prima fase deve essere definito il contesto, cioè il perimetro entro il quale deve essere effettuata la valutazione. Bisogna quindi seguire i seguenti items, curando che, per ogni domanda, venga delineata una risposta che contenga descrizioni analitiche, dettagliate e articolate.
Secondo step: valutazione della necessità e della proporzionalità
Questo step prevede che si verifichi che sono state effettivamente determinate le misure previste per affrontare i rischi elevati connessi al trattamento. Devono essere valutate le 2 classi di misure di seguito specificate. Anche in questo caso le risposte devono essere dettagliate ed analitiche.
Terzo step: gestione dei rischi per i diritti e le libertà degli interessati
Questa è la fase più complessa ma anche più interessante di tutto il processo di valutazione. Prevede che vengano determinate, dalla prospettiva degli interessati, l’origine, la natura, la particolarità e la gravità dei rischi e, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati). Vanno quindi considerate, in modo distinto, diacronicamente, 3 diverse dimensioni del rischio: perdita di riservatezza, di integrità e di disponibilità.
Specificamente, in concreto si dovrà:
- individuare le fonti di rischio;
- comprendere e valutare l’impatto potenziale per i diritti e le libertà degli interessati in caso di eventi che includono l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati (che possono comportare quindi perdita di riservatezza, di integrità e di disponibilità);
- definire possibili minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati nonchè valutare la loro probabilità (probabilità di occorrenza della minaccia);
- valutare quindi il rischio – combinando l’impatto e la probabilità di accadimento della minaccia;
- determinare le misure previste per gestire tali rischi.
Il rischio dovrà essere comunque considerato in base a una valutazione oggettiva, cioè facendo ricorso a specifiche metriche.
Individuazione delle fonti di rischio
In linea con quanto raccomandato dal Considerando 90 GDPR e dall’allegato 2 delle Linee Guida WP 248, il prodromo della gestione dei rischi è l’individuazione delle fonti di rischio. Nella tabella seguente, estratta dal sito dell’Autorità di Controllo francese (CNIL), sono riportati alcuni esempi di fonti di rischio.
| Tipi di fonti di rischio | Esempi |
|---|---|
| Fonti umane interne | Dipendenti, tirocinanti, manager |
| Fonti umane esterne | Destinatari dei dati personali, terze parti autorizzate, fornitori di servizi, hacker, visitatori, ex dipendenti, attivisti, concorrenti, clienti, personale addetto alla manutenzione, criminali, sindacati, giornalisti, organizzazioni non governative, organizzazioni criminali, organizzazioni sotto il controllo di uno stato estero, organizzazioni terroristiche, industrie vicine, attività |
| Fonti non umane | Codice malevolo di origine sconosciuta (virus, worm, ecc.), acqua (condutture, corsi d’acqua, ecc.), materiali infiammabili, corrosivi o esplosivi, disastri naturali, epidemie, animali. |
Comprensione e valutazione dell'impatto
Dopo aver individuato le fonti di rischio, si dovrà comprendere e valutare l’impatto sui diritti e libertà degli interessati, che si avrebbe qualora il rischio si trasformi in danno fisico, materiale o immateriale. Occorre quindi stabilire una scala che indichi i livelli di impatto, di gravità crescenti (e.g. basso, medio, alto, altissimo) corrispondenti ad una specifica tassonomia di danni.
Questa tassonomia può essere predisposta dal “valutatore” sulla base di evenienze statistiche. Utili tassonomie sono contenute negli specifici “tools” o anche negli “Annex” di alcuni standards internazionali (e.g. ISO 29134:2017).
A titolo esemplificativo si riporta di seguito una tabella estrapolata dalla pubblicazione “Handbook on Security of Personal Data Processing” predisposta da ENISA a beneficio delle Piccole e Medie Imprese.
Ovviamente, dovranno essere eseguite 3 valutazioni: una per ogni livello di impatto (i.e. perdita di riservatezza, di integrità e di disponibilità).
Il punteggio che indica il più alto di questi livelli dovrà essere considerato come unico risultato finale della valutazione dell’impatto.
Definizione di possibili minacce e valutazione della loro probabilità
Dopo aver valutato il livello di impatto bisogna:
- definire le possibili minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati
- valutare la loro probabilità, la c.d. probabilità di occorrenza della minaccia.
Analogamente a quanto realizzato precedentemente per comprendere e valutare l’impatto, anche in questa fase occorre definire una tassonomia delle minacce e stabilire una scala che indichi i livelli di probabilità di occorrenza delle minacce stesse (e.g.: improbabile, poco probabile, probabile, altamente probabile). Anche questa tassonomia può essere predisposta dalla persona che esegue la DPIA, ovvero può essere estratta dagli specifici “tools” o dagli “Annex” di standards internazionali (e.g. ISO 29134:2017). Anche il risultato della valutazione della probabilità di occorrenza delle minacce sarà un punteggio.
Ulteriori adempimenti
ll titolare del trattamento che esegue la DPIA deve comunque consultarsi con il proprio DPO e, se del caso, deve raccogliere le opinioni degli interessati e dei loro rappresentanti. Inoltre, va sempre tenuto presente che la DPIA non è un esercizio “una tantum”, ma un processo continuo, soprattutto quando un trattamento è dinamico ed è soggetto a variazioni continue.