GDPR: come si può realizzare un’autovalutazione efficace dei rischi (Guida al GDPR 5.3)

Nei casi in cui un trattamento dei dati personali presenti un rischio probabile ed elevato di causare dei pregiudizi ai diritti e alle libertà degli interessati (ad esempio perché viene posto in essere un controllo di tipo sistematico, per l’elevato numero di soggetti coinvolti o per la natura sensibile dei dati personali trattati), il GDPR stabilisce che i titolari del trattamento debbano realizzare in via preventiva una apposita valutazione dei rischi.

Inoltre, è previsto il coinvolgimento dell’Autorità di controllo (quindi del Garante della privacy) qualora le misure tecniche e organizzative individuate al fine di minimizzare l’impatto del trattamento sulla tutela dei diritti e delle libertà degli interessati non vengano ritenute sufficienti: quando il titolare ritenga che, nonostante le valutazioni effettuate e l’individuazione di misure di sicurezza, resti comunque presente un apprezzabile rischio per i diritti e le libertà degli interessati.

Quello della valutazione dei rischi si configura, d’altra parte, come una delle novità più importanti nel quadro del nuovo Regolamento europeo, in quanto esprime l’intento delle istituzioni europee di ottenere una maggiore responsabilizzazione (accountability) dei titolari verso le attività di trattamento dei dati dagli stessi poste in essere.

Infatti, i titolari del trattamento non solo sono tenuti ad osservare le disposizioni del GDPR, ma devono anche essere in grado di dimostrare compiutamente la propria compliance, tanto all’Autorità di controllo quanto ai singoli interessati. Uno dei principali modi per dare tale prova è proprio attraverso una completa e corretta valutazione dei rischi a cui ciascun trattamento dà luogo.

Come precisato dalla Linee Guida emanate al riguardo, la valutazione d’impatto sulla protezione dei dati identifica “un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli.

Di conseguenza, la valutazione d’impatto sulla protezione dei dati è uno strumento importante per la responsabilizzazione in quanto, da un lato, incoraggia i titolari del trattamento a rispettare gli obblighi sanciti dal GDPR, e, dall’altro lato, è un mezzo che consente loro di giustificare la scelta delle specifiche misure adottate, potendone così dimostrare l’idoneità per garantire il rispetto del Regolamento.

Al fine di realizzare una valutazione del rischio efficace e sufficientemente completa, il titolare che vi procede si dovrà attenere ai seguenti punti:

  • dovrà essere fornita una descrizione sistematica del trattamento dei dati, questa dovrà comprendere, (come stabilito dall’art. 35, par. 7, lett. a) che prevede che la valutazione contenga “una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento”) in particolare:
  • natura, ambito di applicazione, contesto e finalità del trattamento;
  • i dati personali che vengono registrati, i destinatari ed il periodo di conservazione;
  • una descrizione funzionale del trattamento che viene posto in essere;
  • le risorse utilizzate (hardware, software, supporto cartaceo);
  • il rispetto di codici di condotta eventualmente approvati (come richiesto dall’art. 35, par. 8 del GDPR);
  • dovrà dimostrare la liceità del trattamento, e dunque la sua necessità e proporzionalità, come prevede l’art. 35, par. 7, lett. b) (la norma dispone infatti che la valutazione d’impatto contenga “una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità”), e in particolare se sono state adottate (e quali) le misure previste per garantire il rispetto del Regolamento. Più precisamente, si dovranno indicare specificamente:

 

  • misure che consentono di garantire la necessità e proporzionalità del trattamento dei dati personali in relazione, ad esempio, alle finalità, alla liceità del trattamento e all’adeguatezza dei dati raccolti che devono essere pertinenti e limitati a quanto necessario;
  • i presupposti della legittimità del trattamento dei dati (come il consenso dell’interessato, la presenza di un obbligo legale o di contratto o ancora di un legittimo interesse del titolare);
  • le misure che consentono di realizzare una limitazione della conservazione dei dati ad un arco di tempo strettamente connesso al raggiungimento delle finalità prestabilite;
  • le misure che contribuiscono a garantire i diritti degli interessati, quali l’informativa che deve essergli resa in via preliminare e tutte le informazioni utili circa i diritti che ad esso sono riconosciuti (come il diritto di accesso, il diritto alla portabilità dei dati, il diritto di rettifica e di cancellazione, il diritto di opposizione e di limitazione del trattamento), nonché, in caso di trasferimento dei dati all’estero, l’insieme di garanzie che legittimano tale trasferimento;
  • dovrà indicare come i rischi per i diritti e le libertà degli interessati vengono gestiti, ai sensi dell’art. 35, par. 7, lett. c) (la norma stabilisce: “La valutazione contiene almeno: c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1”), specificando:
  • l’origine, la natura e la gravità per ciascun rischio (ad esempio, l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati), tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone coinvolte, come previsto dall’art. 35, par. 7, lett. d) (la norma prevede infatti: “La valutazione contiene almeno: d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”);
  • dovranno essere indicate le misure di sicurezza che si intende adottare a garanzia della protezione dei dati personali, quali, ad esempio:
  • tecniche di pseudonimizzazione e cifratura;
  • tecniche di minimizzazione dei dati utilizzati e strumenti che garantiscano la privacy “by design” e “by default”;
  • sistemi che consentano di verificare l’efficacia delle garanzie poste in essere (ad esempio, penetretion test);
  • misure di sicurezza di tipo organizzativo e di tipo fisico (come, ad esempio, misure che garantiscano la protezione di determinate aree, strumentazioni o dati fisicamente posti all’interno dell’azienda);
  • la predisposizione di sistemi di ripristino e recupero dei dati (anche attraverso la previsione di piani di backup);
  • l’adozione di codici di condotta o di altri meccanismi di certificazione.
  • infine, dovrà essere dato conto anche del coinvolgimento delle parti interessate nello svolgimento della valutazione d’impatto sulla protezione dei dati. Più nello specifico, come previsto dall’art. 35, par. 2, il titolare del trattamento dovrà consultare il responsabile del trattamento (sempre che sia stato designato) e, se opportuno, potrà anche raccogliere direttamente l’opinione degli interessati o dei loro rappresentanti. Questo è infatti quanto stabilito dall’art. 35, par. 9: “Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti”.
FocusGDPRNormativaPrivacy e sicurezza Informatica
marzo 19, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it