Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'approfondimento

Valutazione d’impatto sulla protezione dati: perché è importante e come farla

La valutazione d’impatto sulla protezione dati è lo “spettro” di molti titolari e responsabili (ma anche di diversi DPO e consulenti). Ma è di fondamentale importanza nella corretta applicazione del Regolamento generale sulla protezione dati, Vediamo perché

07 Mag 2019
P

Stefano Posti

Responsabile della protezione dati e Valutatore di Sistemi di gestione


Valutazione d’impatto sulla protezione dati, DPIA, o più semplicemente PIA: molti fanno fatica a confrontarsi con tale procedura, perché considerata “difficile e costosa”. Ci siamo posti dunque l’obiettivo di chiarire alcuni aspetti sostanziali e fornire alcuni suggerimenti utili per non trovarsi impreparati con la DPIA.

I consigli delle autorità sulla valutazione d’impatto

Molte autorità di controllo europee raccomandano costantemente l’effettuazione della valutazione d’impatto e supportano gli operatori con pubblicazioni e strumenti. In Italia il Nucleo Speciale Tutela Privacy e Frodi Telematiche della Guardia di Finanza non perde occasione (nelle diverse iniziative di sensibilizzazione cui partecipa) di sottolineare quanto tale adempimento, per le attività di trattamento che lo prevedono, sia fondamentale anche per l’attività ispettiva; e ancora, tanti sono gli esperti che di continuo raccomandano: “Mettete al centro i trattamenti e valutatene i rischi, considerando le conseguenze per le persone, e quando serve realizzate le valutazioni di impatto per le attività che le prevedono”.

Non si vuole in questa sede tornare a spiegare cosa sia la valutazione d’impatto sulla protezione dati prevista dall’Art. 35 del GDPR. Inoltre, ormai in molti hanno effettuato almeno il download del software PIA Tool reso disponibile gratuitamente dall’autorità francese, il CNIL, e tanti sono gli strumenti che il nuovo mercato del GDPR ha creato a supporto degli operatori.

Valutazione d’impatto: più impegnativa che difficile e costosa

Difficile e costosa? Forse il termine più corretto è “impegnativa”, verrebbe da dire. Ma se nei processi di trattamenti di dati personali dobbiamo sempre valutare i rischi, dovremmo aver tutti ben capito che la DPIA non è sempre necessaria per tutte le attività di trattamento; e ora, con la recente pubblicazione da parte del nostro Garante dell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, il ragionamento, a pensarci bene, è più semplice:

  • mappiamo i processi e le attività di trattamento di dati personali nel registro ex Art. 30; ricordiamoci che per ogni nuova iniziativa e trattamento da porre in essere, le tutele vanno inserite all’interno del processo (privacy by design) e quindi inseriamo nel registro anche le attività pianificate frutto di nuove iniziative e nuovi progetti (proprio per questi non possiamo permetterci di farci scappare la DPIA, se necessario);
  • valutiamo, per ciascuna attività o per attività collegate, il livello di rischio per i diritti e le libertà degli interessati;
  • se il rischio inerente (attenzione, non quello ponderato) è elevato, se siamo in presenza di almeno 2 dei 9 criteri indicati nelle linee guida WP248 Rev.01, o ancora meglio, se la tipologia del trattamento rientra fra quelle indicate dall’autorità, allora dovremo procedere con la Valutazione di impatto per l’attività di trattamento analizzata.

La DPIA, che ben inteso è un processo, con diverse fasi e punti di controllo, si concretizza con una o più relazioni documentate e allegati tecnici che “raccontano” le il perché e il come si intenda procedere in modo ben più approfondito di quanto espresso nel registro ex Art. 30.

Secondo le ottime Linea Guida per la Data Protection Impact Assessment rese disponibili (in italiano, così non ci sono scuse!) dall’Osservatorio Information Security e Privacy del Politecnico di Milano, le macro-fasi del processo di valutazione d’impatto possono essere individuate come segue:

  • valutazione preliminare;
  • esecuzione DPIA (in cui si analizzano i trattamenti ed i rischi, e si identificano le diverse categorie di rischi e si effettua l’analisi del rischio per la protezione dati, e si calcola il livello di rischio residuo;
  • finalizzazione e decisione finale (dove si convalidano i risultati nel report e si prendono le decisioni finali sull’accettabilità del rischio residuo e sul ricorso alla consultazione preventiva dell’autorità di controllo)
  • consultazione Preventiva (se necessario)
  • revisione DPIA

Lo schema di seguito rappresentato invece mostra il ciclo di una DPIA come descritto dalle linee guida dell’ICO (l’autorità di controllo britannica), che a questo link propone una guida al processo di DPIA ed alcune checklist molto utili.

Immagine elaborata dall’autore, traduzione dello schema ICO.

La valutazione d’impatto è, secondo il parere di chi scrive, l’adempimento che meglio rappresenta gli obiettivi del GDPR, per le seguenti ragioni:

  1. ha l’obiettivo di focalizzarsi sulle conseguenze per gli interessati e di inserire le tutele nel trattamento stesso, atteso che questo trattamento si debba necessariamente fare… applica in pieno il principio di privacy by design;
  2. necessita di un pieno coinvolgimento delle funzioni referenti e anche delle funzioni apicali del Titolare del trattamento (ebbene sì, non basta il “lavoro del consulente” e la supervisione del DPO, il ragionamento complessivo da documentare implica un pieno coinvolgimento del titolare (una “forzatura” ad essere accountable; la direzione è infatti coinvolta a più riprese, vedi punti 2,3,4,7,9 dello schema);
  3. utilizza competenze trasversali e mette dunque pace fra i diversi attori (interni e/o consulenti): giuristi, informatici, organizzativi, comitato etico… servono tutti!
  4. richiede supporto sostanziale (e non “formale” con pezzi di carta) da parte degli eventuali processors implicati nell’attività di trattamento.

È pur vero che DPO e consulenti giocano un ruolo di formazione e sensibilizzazione fondamentale nel processo; serve esperienza e determinazione per evitare approcci superficiali, e una consolidata conoscenza delle norme tecniche per guidare l’esecuzione della valutazione di impatto.

Ma è soprattutto per i “non addetti ai lavori” che partecipano al processo di DPIA che tale obbligo facilita lo sviluppo ad un’adeguata attenzione al tema della protezione dati personali; possiamo ragionevolmente affermare che nel corso degli incontri e nei ragionamenti necessari per stabilire innanzitutto se il trattamento sia necessario e proporzionale, nell’analizzare quanto si possa minimizzare l’utilizzo di dati personali e ridurre il rischio per gli interessati, viene “iniettato” il principio della privacy by design, utile per la successiva iniziativa o progettazione di un servizio o attività che implica trattamenti di dati personali.

La DPIA può essere effettuata per attività già in essere (magari per le quali era necessaria la “vecchia” verifica preliminare del previgente Codice, non fatta o non contemplata in virtù di un obbligo di legge)? Senz’altro. È nata per essere effettuata prima di porre in essere un trattamento, ma per le attività di trattamento che la prevedono obbligatoriamente (vedi i 12 casi espressamente previsti dalla nostra autorità)… meglio tardi che mai.

Per i privati, ma anche e soprattutto per la PA, la valutazione d’impatto è necessaria anche nelle strategie dei servizi pubblici per la collettività, anche se il “bene comune” è il principale obiettivo da conseguire ad ogni costo; forse, non trascurare gli aspetti della protezione dati sin dal principio, aiuta ad evitare grossolane sviste legislative e utilizzi non necessari di dati, sistemi e risorse, che necessitano poi di correzioni in corsa. In generale, l’approccio basato sul rischio migliora qualunque sistema regolatorio; ecco perché è molto importante e va assolutamente sensibilizzato.

La corretta esecuzione della valutazione d’impatto

Una volta completata la fase di valutazione preliminare, appurata la necessità di realizzare la DPIA, si procede. Come già spiegato, l’ipotesi “pago consulenti, ho il mio DPO che supervisiona” da sola non può funzionare. Necessariamente, diversi attori interni, anche a livello apicale, dovranno contribuire all’esecuzione della valutazione. Sicuramente il DPO, se presente, ed i consulenti, dovranno essere ben preparati e non improvvisati. La mole di documentazione prodotta a livello nazionale ed europeo in questi mesi è stata notevole, molta in lingua inglese, e una padronanza delle prassi è d’obbligo.

Per i riferimenti principali, citiamo il documento del Gruppo di lavoro Working Party Art. 29 (ora EPDB) Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679 – WP248rev.01 ma anche la norma standard ISO/IEC 29134:2017 “Information technology — Security techniques — Guidelines for privacy impact assessment” molto utile soprattutto per l’elencazione delle possibili categorie di minacce.

Sono senz’altro da conoscere anche le pubblicazioni ENISA “Guidelines for SMEs on the security of personal data processing” e “Handbook on Security of Personal Data Processing”

Riferimento molto valido per tutti, e sicuramente da studiare (è gratuito) è, come già spiegato, rappresentato dalle Linee Guida per la Data Protection Impact Assessment dell’Osservatorio Information Security e Privacy del Politecnico di Milano School of Management;

Per la valutazione del rischio ed i controlli di efficacia, ci aiuteranno norme quali:

  • la norma standard ISO 31000:2018 – Risk management – Guidelines, e la ISO/IEC 27005:2018 – Information technology — Security techniques — Information security risk management;
  • le ISO/IEC 27001:2013 e ISO/IEC27002:2013;
  • la ISO/IEC 29151:2017;
  • la framework NIST-800-SP53-Rev4;
  • le UNI/PdR 43.1:2018 – Prassi di riferimento per la gestione dei dati personali in ambito ICT.

Infine, norme standard sulla Data Protection come la BS 10012:2017 e, ancora meglio, la italianissima ISDP©10003:2018 contengono obiettivi di controllo specifici per governare i processi di DPIA.

Fra le risorse più utili nel concreto, sebbene forse meno conosciute (perché si tende a scaricare direttamente il software senza studiare la metodologia) ci sono le 3 pubblicazioni dell’autorità francese CNIL, documenti davvero utili e di facile studio e comprensione (sebbene disponibili solo in inglese, oltre che in francese).

C’è una guida sulla metodologia (n. 1), un Template di Report DPIA (n. 2) e un interessantissimo Knowledge base (n.3), da studiare bene per capire la metodologia, le possibili conseguenze, i livelli di vulnerabilità e di rischio, le tipologie di minacce; tale knowledge base è anche utilizzato per costruire tools che, come il PIA Tool del CNIL, aiutano il titolare con percorsi guidati.

Non moltissimo tempo fa, tra l’altro, il CNIL ha aggiunto una interessante guida sulle valutazione d’impatto in ambito IoT. Questi documenti sono essenziali per lo studio; ad esempio, per identificare e selezionare le possibili conseguenze per gli interessati in caso di:

  • accesso illegittimo ai dati;
  • modifiche indesiderate ai dati;
  • perdita di dati;

una tabella come questa sottorappresentata (realizzata appunto traducendo la corrispondente tabella nel Knowledge base CNIL) può aiutare a comprendere più velocemente il livello di impatto e la gravità delle conseguenze per gli interessati all’attività di trattamento:

keyboard_arrow_right
keyboard_arrow_left
Categoria di impattoDescrizioneLivello di importanza
Impatto psicologicoImpressione di violazione della privacy senza danno reale (fastidio, disagio)Basso
Impatto materialePerdita di tempo dovuto alla necessità di ripetizione di azioni già svolte (es. reinserimento dati per formalità, riconfigurazione, etc.)Basso
Impatto psicologicoDisagio per persone più vulnerabili (es. lievi fastidi per minori o persone con necessità di tutori)Basso
Impatto materialeFastidio derivante dall’impressione del riutilizzo dei propri dati per pubblicità mirataBasso
Impatto materialeRicezione di comunicazioni indesiderate (SPAM)Basso
Impatto fisicoMalessere (es. mal di testa passeggero) o preoccupazione per  mancanza di cura per una persona vulnerabile (es. minore)Basso
Impatto psicologicoSensazione di perdita di controllo dei propri dati e del rispetto per la libertà di navigazioneBasso
Impatto materialeEccessiva difficoltà di accesso, o mancato accesso, a servizi pubblici o commerciali (non vitali ma necessari)Medio
Impatto fisicoStress o disturbo minore psicologico o fisico (es. malattia lieve a seguito del mancato rispetto di controindicazioni)Medio
Impatto materialeDanno materiale non ingente derivante da un aspetto di vita privata che necessita riservatezzaMedio
Impatto materialePerdita di opportunità di comfort (es. cancellazioni di vacanze, cancellazione di account online, blocco account di servizi online, etc.)Medio
Impatto psicologicoDiffamazione, discredito, danni reputazionali derivanti da comunicazioni mail indesiderateMedio
Impatto psicologicoIntimidazione sui social networkMedio
Impatto materialeAumenti di costi o conseguenze economiche non previste (es. sanzioni, multe, interessi di mora, perdite di agevolazioni, etc.)Medio
Impatto psicologicoSenso di violazione della privacy senza danni irreparabili, mancanza di riconoscimenti, problemi di relazioni con gli altri, discriminazione sui social network, danno di immagine, etc.Medio
Impatto psicologicoDiscriminazione in ambienti professionali o scolastici, opportunità perse di avanzamento carrieraMedio
Impatto materialeElaborazione di dati incorretti che provocano ad esempio malfunzionamenti negli account bancari o di servizi previdenzialiMedio
Impatto materialePubblicità mirata online su aspetti confidenziali che si vogliono tenere nascosti (es. gravidanza, trattamenti relativi a dipendenze, etc.)Medio
Impatto materialeProfilazione inaccurata o inappropriataMedio
Impatto fisicoDisturbi fisici che provocano danni a lungo termine (es. aggravamento dello stato di salute a seguito di mancato rispetto di controindicazioni, o cure non appropriate)Alto
Impatto materialePerdite economiche rilevanti , blocco conti bancari, etc.Alto
Impatto materialeDifficoltà di accesso a servizi pubblici importantiAlto
Impatto materialePerdite di opportunità / agevolazioni uniche e non ricorrenti (mutui immobiliari, studi, tirocini o occupazioni, interdizione da esami scolastici)Alto
Impatto materialeAppropriazioni indebite non compensate, difficoltà economiche non temporanee (es. necessità di prendere un prestito)Alto
Impatto materialeDivieto di tenuta di conti bancariAlto
Impatto materialeDivieto di spostamenti all’esteroAlto
Impatto materialePerdita dei dati dei propri ClientiAlto
Impatto psicologicoSenso di violazione della privacy con danno irreparabileAlto
Impatto fisicoAlterazione dell’integrità fisica (es. incidenti o aggressioni)Alto
Impatto psicologicoSeparazione o divorzioAlto
Impatto psicologicoDiscriminazione, forte sensazione di violazione dei diritti fondamentali e della libertà di espressioneAlto
Impatto materialePerdita dell’abitazione o del posto di lavoroAlto
Impatto materialeEsposizione a ricattiAlto
Impatto materialePerdite monetarie a seguito di frodi o phishingAlto
Impatto materialeDanni alle proprietà o perdite monetarie non indennizzateAlto
Impatto fisicoGrave disturbo psicologico (depressione, fobie, fragilità dopo citazioni in giudizio, dopo estorsioni)Alto
Impatto psicologicoCyber-bullismo, discriminazione, molestie psicologiche o sessualiAlto
Impatto psicologicoPerdita della capacità di agireAltissimo
Impatto fisicoRapimento, sequestro di personaAltissimo
Impatto materialeImpossibilità di lavorare o incapacità di ricollocazioneAltissimo
Impatto materialeImpossibilità di citare in giudizioAltissimo
Impatto fisicoDisturbo psicologico a lungo termine o permanenteAltissimo
Impatto materialeSanzioni penaliAltissimo
Impatto fisicoAlterazione permanente dell’integrità fisicaAltissimo
Impatto materialeCambio di stato amministrativo e/o perdita dell’autonomia legale (necessità di supervisione terza)Altissimo
Impatto materialeSmarrimento di elementi di prova nell’ambito di un contenziosoAltissimo
Impatto psicologicoAllontanamento o perdita di legami familiariAltissimo
Impatto materialeRischio finanziario di indebitamento ingenteAltissimo
Impatto materialePerdita di accesso a infrastrutture vitali (acqua, elettricità, ecc)Altissimo
Impatto fisicoDecessoAltissimo

Le conseguenze

Come si può vedere, si passa dal “senso di fastidio” nel ricevere comunicazioni spam, a impedimenti più importanti, e conseguenze più sostanziali, con impatto materiale, psicologico, ma anche fisico, che può raggiungere livelli di gravità altissima.

Ragionare sulle conseguenze non è certo banale; la tabella, che ha come quella del CNIL lo scopo di costituire un esempio, sicuramente personalizzabile, ha sicuramente un livello di dettaglio maggiore di quelle che considerano esclusivamente le tipologie di dati personali per attribuire il livello di impatto. È pur vero che generalizzando, possiamo ipotizzare ragionevolmente livelli di impatto in base alle tipologie di dati personali (già di per sé difficilmente classificabili), come in questo schema:

La verità è che il ragionamento sulle conseguenze non può prescindere dal contesto; si pensi ad esempio ad una persona che, in un ambiente informale, scolastico o professionale, è conosciuto per essere un tifoso di una certa squadra di calcio; il livello di “discriminazione” può essere auspicabilmente irrilevante, o anche ragionevolmente limitato; si consideri invece l’occasione di una competizione calcistica particolarmente “sentita”, dove una persona si trova ad incrociare un gruppo di ultras e viene identificata come tifoso della squadra avversaria e malmenato; in quel contesto, l’essere simpatizzante per una squadra piuttosto che per un’altra è il dato più “sensibile” che si possa rivelare, molto più dello stato di salute o del credo religioso o altro; può comportare conseguenze critiche, persino la morte.

Quindi, anche fattori quali il contesto, l’identificabilità, e non ultima la tipologia di perdita di sicurezza dei dati personali contribuiscono a determinare il livello di impatto in modo più puntuale, e spesso per l’analisi del rischio può convenire usare diverse metriche a confronto.

Ma se per l’analisi dei rischi, e per il calcolo del rischio residuo, le tecniche ci sono, ed i consulenti e il DPO possono supportare il titolare in questa delicata (ma non impossibile) fase, è per le parti “decisionali” e “descrittive”, come abbiamo già detto, che diventa fondamentale l’apporto del personale interno. Per la parte di processo da dettagliare nel report di valutazione d’impatto, infatti, c’è molto da “raccontare”, analizzare, giustificare, e anche “decidere”.

La finalità e liceità del trattamento dovrà essere adeguatamente argomentata; lo stesso vale per il flusso dei dati personali, descrivendo le funzioni dell’organizzazione interessate ai processi, nonché gli strumenti, le modalità informative. La stessa opportunità di dover consultare gli interessati implica una serie di valutazioni, azioni e conseguenti tempistiche che non sono affatto banali.

Di seguito rappresentiamo un possibile indice di una valutazione d’impatto, solo a scopo di esempio, ma utile per mostrare quanto le stesse basi giuridiche e i principi di liceità, trasparenza e correttezza vengano trasposte nel processo e, più concretamente, nella relazione, rendendo la DPIA davvero il “principe della data protection by design”.

Ricordiamo che la relazione (o le relazioni, se la documentazione è suddivisa in più parti), i relativi allegati, tecnici e giuridici, dovrebbero essere revisionati periodicamente; il report DPIA può rappresentare l’output di un processo, e l’input di una successiva valutazione; siamo dunque in presenza, come per il registro delle attività di trattamenti, di strumenti dinamici.

Un possibile indice di una valutazione di impatto.

Conclusioni

La DPIA è sia un adempimento obbligatorio per alcune attività di trattamento, sia il più efficace strumento di applicazione del principio di data protection by design previsto dal Regolamento generale per la protezione dati (GDPR). È un processo documentato, ma che non può in alcun modo essere considerato “carta”, o generato in modo seriale o ciclostilato. Le fasi esecutive prevedono diverse attività di analisi e consultazione fra i diversi attori del processo.

Ci sono ottime pubblicazioni e strumenti anche gratuiti; è sicuramente un’attività impegnativa, nella quale la sostanzialità del GDPR e il suo approccio risk-based la fanno da padrone, ed è necessario dunque approfondire e comprendere a fondo i temi della data protection; un adempimento dunque da non sottovalutare, ma nemmeno da temere, perché i titolari del trattamento ci si dovranno confrontare, inevitabilmente, sempre più spesso.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5