GDPR, ecco quando e come va effettuata la valutazione d’impatto

Come utilizzare le annotazioni sul registro per determinare la probabilità che il danno correlato al trattamento si verifichi e in base alle misure di sicurezza adottate supportare la valutazione del rischio residuo

Pubblicato il 12 Mar 2020

Samuel De Fazio

Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

gdpr sanzioni

Registro, valutazione d’impatto e violazione di dati personali: tre attività apparentemente separate che si rivelano estremamente collegate adottando l’approccio basato sul rischio, nell’ambito delle incombenze da realizzare per ottemperare al GDPR. Esse sono, rispettivamente: mandatoria praticamente sempre, obbligatoria al ricorrere di determinati presupposti oggettivi o soggettivi e doverosa al verificarsi dell’evento.

Definizione di registro

Il registro, infatti, oltre agli ormai cementati criteri che ne determinano l’obbligatorietà di redazione definiti dall’art. 30 del GDPR, come si premura di precisare il Garante nelle sue FAQ pubblicate l’8 ottobre 2018, “Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione” e “il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.

Il registro, quindi, è un utilissimo strumento in cui raccogliere le evidenze fattuali o, almeno, di progettazione di un qualsiasi trattamento. Tali elementi, nel concreto, rappresentano le caratteristiche qualitative e quantitative di una serie di variabili che non dovrebbero essere ignorare nella normale conduzione di una valutazione del rischio che un trattamento fa gravare sui diritti e le libertà degli interessati e delle persone. Se ragioniamo sul fatto che una valutazione d’impatto sulla protezione dei dati personali debba essere effettuata nel caso in cui un trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone interessate (rischio che può essere effettivamente valutato in autonomia dal titolare del trattamento, oppure essere determinato a presunzione di legge), si comprende appieno il primo grande e importante collegamento tra il registro delle attività di trattamento e la valutazione d’impatto sulla protezione dei dati.

Già in fase di redazione del registro, infatti, il titolare è in grado di rendersi conto della presenza di determinati elementi pericolosi e forieri di rischio, se non, addirittura, di individuare i trattamenti che, per le loro peculiari caratteristiche, rappresentano un rischio elevato da sottoporre a valutazione d’impatto. Conoscere e identificare le finalità permette di valutare al meglio la necessità e la proporzionalità del trattamento e, conseguentemente, di effettuare un più accurato esame del bilanciamento degli interessi; censire le categorie di interessati e le categorie di dati personali permette di avere parametri affidabili con cui determinare l’entità del danno provocabile dal trattamento (pericoloso per sua natura); indicare i flussi di dati (ossia le categorie di destinatari o la destinazione dei dati) permette di individuare le fonti esterne di rischio; avere contezza dei tempi di conservazione aiuta nella determinazione della probabilità che il danno correlato al trattamento si verifichi; infine, sapere quali misure di sicurezza sono state adottate, sia organizzative che tecniche, supporta l’operazione della valutazione del rischio residuo.

Quando occorre la valutazione d’impatto

Se tale rischio residuo è elevato, allora si dovrà procedere con la valutazione d’impatto.

È lapalissiano, a questo punto, che se un trattamento è particolarmente rischioso, soprattutto se rappresenta un rischio elevato ed è obbligatoriamente da sottoporre a valutazione d’impatto, che, spostandoci sul tema della violazione dei dati – essendo anch’essa un trattamento di dati – non possiamo non considerare le risultanze ottenute come indice di una presunta gravità della violazione o, quantomeno, come elemento per determinarla.

In pratica, lo schema logico dovrebbe essere il seguente:

  • censire e descrivere i trattamenti nel registro;
  • usare il registro e gli elementi indicati per supportare la valutazione del rischio sul singolo trattamento;
  • identificare i trattamenti che rappresentano un rischio elevato;
  • effettuare la valutazione d’impatto sui trattamenti che rappresentano un rischio elevato.
  • prepararsi a fronteggiare le violazioni di dati, sapendo che i trattamenti che rappresentano un rischio elevato potrebbero essere oggetto delle violazioni di maggior gravità, che dovrebbero essere comunicate al Garante e all’interessato.

Conclusioni

In altre parole, se un trattamento è così rischioso da dover essere sottoposto a valutazione d’impatto, difficilmente sarà sostenibile la tesi secondo cui una violazione che colpisce quel determinato trattamento non sia da considerarsi così grave da poter non essere comunicata al Garante e, se del caso, all’interessato.

Ancora una volta, quindi, emerge come il GDPR guardi più ai sistemi di gestione che alle “liste” di adeguamenti tout court e alle facili soluzioni chiavi-in-mano.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Samuel De Fazio
Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3