Blog

Privacy & Rischio

(Last Updated On: 28 aprile 2018)

Manca meno di un mese al 25 maggio, giorno fatidico dell’entrata in vigore della normativa UE che introduce un nuovo modo di pensare e gestire il trattamento dei dati. Il Regolamento europeo o GDPR (General Data Protection Regulation) richiede di effettuare una analisi del rischio dei dati trattati, implementare un sistema di gestione degli stessi ed essere in grado di dimostrare l’efficacia delle scelte fatte. Richiede quindi anche il coinvolgimento di competenze trasversali: in campo legale, di sistema ed informatiche, per citarne solo alcune.

La caratteristica è quella di passare da un sistema di rendicontazione “a consuntivo” ad uno “a preventivo”. Questo nuovo modo di gestione dei dati incide fortemente sull’intero assetto organizzativo interno: introduce infatti un modo di pensare e gestire il trattamento dei dati, molto diverso, soprattutto in sanità. Bisogna pensare “prima” come si è organizzati e quali sono le responsabilità di ciascuno, all’interno dell’attività.

La definizione di “responsabilità” è sottolineata anche dall’indicazione di alcune figure: i responsabili (che rimangono tali) ed i responsabili “di secondo livello”, nuovo termine che sostituisce quello della precedente legge per incaricati (che presupponeva una collaborazione “passiva” al sistema). Dal 25 maggio “siamo tutti responsabili”, questo il messaggio del nuovo GDPR.

Veniamo ora a quella che rappresenta la sintesi della valutazione del rischio: la DPIA (Data Protection Impact Assessment alias Valutazione d’impatto sulla protezione dei Dati). “È una procedura prevista dall’articolo 35 del Regolamento UE/2016/679: mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità, nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi”.

Questa la definizione contenuta dall’infografica del Garante. La definizione dei compiti è stata tratteggiata “ad integrazione” dal Gruppo di Lavoro Articolo 29 (UE – WP248), che individua alcuni criteri specifici a questo proposito:

1- trattamenti valutativi o di scoring, compresa la profilazione;
2- decisioni automatizzate, che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
3- monitoraggio sistematico (es: videosorveglianza);
4- trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
5- trattamenti di dati personali su larga scala;
6- combinazione o raffronto di insiemi di dati, derivanti da due o più trattamenti, svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
7- informazioni relative a soggetti vulnerabili (minori, persone con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
8- utilizzazioni innovative o applicazioni di nuove soluzioni tecnologiche od organizzative (es: riconoscimento facciale, device IoT, ecc.);
9- gestioni che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (ad es: screening dei clienti di una banca, attraverso i dati registrati in una centrale, al fine di stabilire i rischi della concessione di un finanziamento).

La DPIA è necessaria in presenza di almeno due dei criteri espressi ma (tenendo conto delle circostanze), il titolare può decidere di condurre una DPIA, anche se ricorre uno solo dei criteri di cui sopra. Con l’apporto (se richiesto) del Responsabile del Protezione dei Dati (RPD-DPO), la partecipazione del Risk Manager aiuta. Rappresenta una delle “chiavi di volta” a sistema della nuova privacy europea. Fondamentale quindi imparare a famigliarizzarsi col termine e con i contenuti: ogni cambiamento organizzativo li sottende !