Segue dalla seconda parte
La prima fase operativa, indicata nel seguito come Fase 0 del processo della DPIA, è rappresentata dalla decisione che il Titolare deve assumere a riguardo della necessità, o meno, di svolgere una DPIA per un trattamento specifico.
Nella fig.3.1 è mostrato lo schema del flusso logico proposto dal Garante nazionale sullo svolgimento della DPIA. La FASE 0 indicata nella fig.2.1 precedente coincide con le prime due domande proposte nel flusso logico di fig.3.1 riguardo – per la prima domanda – alla possibilità di rischio elevato per il trattamento e – per la seconda domanda – alle eccezioni per l’esclusione della DPIA.
Le due domande poste all’inizio del flusso logico sono tra loro indipendenti ed è dunque possibile scegliere liberamente l’ordine in cui affrontarle, pur mantenendo la loro stretta consecutività.
Immaginando che il trattamento considerato non faccia parte delle ‘eccezioni’ (vedi par.2.10 precedente) resta da dirimere unicamente se (seconda domanda in questo caso) il trattamento ‘può comportare un rischio elevato’.
Come dettagliato in par.2.7, utilizzeremo per questa pre-analisi un questionario di screening, in modo da decidere con un approccio sufficientemente analitico ma al contempo rapido, se sia necessaria o meno la DPIA completa per quel trattamento.
Sulla base dell’analisi condotta nel par.2.8, in cui si sono stati elencati e descritti assieme alle prime tre tipologie estremamente generali indicate dalla norma anche quelle individuate dal Garante Italiano [Gar2], dal Gruppo di Lavoro europeo Art.29 [UI1] e dal Garante UK ICO [ICO1], si è predisposto il questionario di screening proposto in Appendice A di questo documento.
Basterà, per il Titolare e per gli esperti da lui indicati per la valutazione della DPIA, rispondere alle domande del questionario relativamente ad ogni trattamento effettuato.
Nel caso in cui:
e) per la Sezione A del questionario di screening si raccolga almeno una risposta ‘Sì’, indipendentemente dalle risposte della Sezione B, viene raccomandato di svolgere la DPIA nella sua completezza;
f) non siano raccolte risposte ‘Sì’ nella Sezione A del questionario di screening ma si raccolgano almeno due risposte ‘Sì’ nella Sezione B, viene raccomandato di svolgere la DPIA nella sua completezza;
g) non siano raccolte risposte ‘Sì’ nella Sezione A del questionario di screening ma si raccolga una sola risposta ‘Sì’ nella Sezione B, viene raccomandato di valutare assieme al DPO la necessità di svolgere la DPIA nella sua completezza.
Nel caso in cui le risposte al questionario siano state tutte ‘No’ si può ragionevole concludere che il trattamento pre-analizzato non è caratterizzato da “rischio elevato” per i diritti e le libertà delle persone fisiche e quindi può essere conclusa la Fase 0 dell’analisi senza ulteriori valutazioni relative alla DPIA.
Importante – Resta comunque valida l’affermazione generale riportata in varie sedi nazionali ed internazionali che, in caso di dubbio da parte del Titolare sul livello di rischio da assegnare in fase di analisi preliminare, venga deciso di svolgere comunque la DPIA nella sua interezza.
In questo Cap.4 si descrive in dettaglio come svolgere la DPIA una volta accertato nella FASE 0 di trovarsi di fronte ad un trattamento che ‘può presentare un rischio elevato’.
La descrizione segue le FASI in cui è stata strutturata la DPIA (fig.2.1), a partire dalla FASE 1 fino a completare il ciclo con la descrizione della FASE 7.
Nella FASE 1 (Regolamento, Art.35, punto 7, comma a) è necessario descrivere come e perché il Titolare utilizzerà i dati personali relativi al Trattamento.
La descrizione si deve soffermare su: “la natura, l’ambito di applicazione, il contesto e le finalità del trattamento” (Considerando 90).
In Appendice B è proposta una Scheda DPIA relativa a questa FASE. I temi da trattare sono nel seguito descritti attraverso una serie di possibili domande.
Per le finalità del trattamento rispondere sinteticamente, tipicamente, a queste domande:
Per la natura del trattamento rispondere, tipicamente, a queste domande:
Per l’ambito di applicazione del trattamento rispondere, tipicamente, a queste domande:
Per il contesto del trattamento rispondere, tipicamente, a queste domande:
Art.35 (punto 7, a) e Considerando 84, 90, 94
In questa FASE (Regolamento Art.35, punto 2 e 9) è necessario descrivere come il Titolare abbia coinvolto o abbia intenzione di coinvolgere con consultazioni gli interessati al trattamento (o i loro rappresentanti) e altre figure chiave della valutazione quali il DPO, il Responsabile della Sicurezza Informatica, il Responsabile dell’IT, esperti in vari settori, …
Se il Titolare decide di non ricorrere alla consultazione degli interessati deve motivare in questa parte dell’analisi la scelta, mostrando come tale scelta possa, ad esempio, condizionare la sicurezza dell’ente o comprometterne la mission, oppure come essa risulti sproporzionata o impraticabile.
In Appendice C è proposta una Scheda DPIA relativa alla FASE 2. L’analisi va svolta in questa fase tenendo in conto le seguenti considerazioni:
Art.35 (punti 2 e 9)
Articolo a cura di Marco Carbonelli
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…