Segue dalla quarta parte.
Nella FASE 5 è necessario da parte del Titolare, sulla base dei risultati ottenuti nella valutazione del rischio effettuata nella fase precedente, decidere se e come introdurre nuove misure di mitigazione del rischio.
Se dai risultati della valutazione emerge che non esistono scenari a “rischio elevato” allora questa FASE 5 può essere saltata completamente a meno che il Titolare non voglia comunque svolgere azione di mitigazione dei rischi di natura media o bassa analizzati.
Se, invece, tra i risultati esistono scenari a “rischio elevato”, allora è necessaria una integrazione delle misure di riduzione del rischio, riavviando per gli scenari individuati una ulteriore fase di analisi.
Gli elementi, tra i molteplici, che potrebbe essere utile tenere in considerazione sono i seguenti:
Si sottolinea come questo elenco non sia esaustivo e come possano essere individuate ulteriori misure/azioni utili a contribuire alla riduzione del rischio. In ogni caso, per questo genere di attività è importante chiedere sempre un contributo al DPO che può fornire utili consigli sulle azioni da intraprendere.
Anche l’analisi svolta in questa FASE 5 va comunque descritta formalmente attraverso una scheda sintetica, proposta in Appendice F, che specifichi come la misura/misure individuate ridurrebbero il rischio e analizzi anche i costi/benefici di ogni misura ulteriore introdotta, al fine di poter svolgere una scelta consapevole sull’impatto per le risorse necessarie all’implementazione.
Tutto il materiale che è stato prodotto attraverso le schede di analisi, dalla FASE 0 fino alla FASE 5 (vedi Appendici di questo documento da A a F) del metodo costituisce la documentazione della DPIA, documentazione che va conservata a cura del Titolare del trattamento per le attività di revisione periodica previste dalla norma e per le eventuali visite ispettive del Garante nazionale.
Nella FASE 6 della DPIA si deve compilare una ulteriore scheda (Appendice G) che riassume la presa in carico dei risultati di valutazione e le diverse osservazioni dei principali attori. In questa scheda si anticipa anche il nominativo di chi, all’interno dell’organizzazione del Titolare, sarà incaricato delle attività periodiche di revisione della DPIA.
Il Titolare identifica un incaricato all’interno della sua organizzazione che svolge e pone all’attenzione del Titolare stesso tutte le azioni di revisione/integrazione della DPIA al fine di mantenere la validità e l’aggiornamento del tempo della valutazione condotta e dei suoi risultati. Le attività di mantenimento vengono svolte conformemente al ciclo descritto in fig.2.1 di questo documento, tenendo in conto di tutte le fasi e le indicazioni qui fornite. Tutte le decisioni relative a modifiche/integrazioni della DPIA debbono essere autorizzate e prese in carico dal Titolare che resta il responsabile del trattamento dei dati analizzato nella valutazione.
ATTENZIONE: per le declaratorie delle caratteristiche del trattamento sintetizzate nelle sezioni del Questionario, si consiglia di far riferimento – prima di rispondere – alla versione integrale discussa nel par.2.8 della Guida per la DPIA.
Codice ID trattamento _____________________ Nome Trattamento _______________________
Dip. ________________________ Ufficio _______________ Servizio _________________________
Note _______________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
ll trattamento considerato presenta queste caratteristiche*?
ID | Caratteristica | Sì | No |
G1 | Valutazione sistematica automatizzata dei dati (anche con profilazione) con effetti significativi sulle persone | ||
G2 | Uso su larga scala di dati delle categorie particolari | ||
G3 | Sorveglianza sistematica pubblica su larga scala |
ll trattamento considerato presenta queste caratteristiche*?
ID | Caratteristica | Sì | No |
S1 | Trattamenti valutativi o di scoring su larga scala o trattamenti che comportano la profilazione degli interessati relativi ad aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti | ||
S2 | Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato | ||
S3 | Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati | ||
S4 | Trattamenti su larga scala di dati aventi carattere estremamente personale | ||
S5 | Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici | ||
S6 | Trattamenti non occasionali di dati relativi a soggetti vulnerabili | ||
S7 | Trattamenti effettuati attraverso l’uso di tecnologie innovative | ||
S8 | Trattamenti che comportano lo scambio tra diversi Titolari di dati su larga scala con modalità telematiche | ||
S9 | Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni | ||
S10 | Trattamenti sistematici di dati biometrici (per identificare univocamente persone) o genetici | ||
S11 | Trattamenti di categorie particolari di dati (diversi da S10) | ||
S12 | Trattamenti che possono comportare un impedimento di esercizio di un diritto o di un servizio e/o contratto | ||
S13 | Trattamenti che possono comportare rischio di danni fisici |
* Per un aiuto alla comprensione dettagliata delle caratteristiche del trattamento riferirsi ai Cap.2 e 3 della Guida per la DPIA.
Luogo e data della compilazione ______________________________
Firma dei Compilatori Firma del Titolare
________________
________________ _________________
________________
Codice ID trattamento _____________________ Nome Trattamento _______________________
Descrivere sinteticamente la finalità del trattamento – Quali sono le finalità del trattamento? Quali sono gli eventuali interessi legittimi e le basi legali connesse al trattamento? Che vantaggio/benefici traggono gli individui coinvolti nel trattamento? Quali benefici induce il trattamento sull’organizzazione? Quali benefici induce il trattamento sulla società? |
|
Descrivere sinteticamente la natura del trattamento – Come sono raccolti i dati? Come vengono gestiti? Come vengono conservati? Come vengono usati i dati? Chi ha accesso ai dati? Con chi vengono, eventualmente, condivisi i dati? Qual è il periodo di conservazione dal dato? Come si chiude il ciclo di vita del dato a termine del periodo di conservazione? Si prevede l’intervento della figura del Responsabile del trattamento? Quali sono le misure di sicurezza organizzativa/procedurale messe in atto? Quali sono le misure di sicurezza tecniche messe in atto? Si utilizzano nuove tecnologie per il trattamento? Si utilizzano nuovi metodi di trattamento del dato? Quali criteri di screening sono stati adottati nell’analisi preliminare (FASE 0)? |
|
Descrivere sinteticamente l’ambito di applicazione del trattamento – Che tipo di dati personali vengono raccolti nel trattamento? Si trattano anche dati appartenenti dalla Categorie Particolari (Art.9)? Quali? A quanto ammonta il numero delle persone gestite nel trattamento? Il trattamento è allargato anche a bambini e categorie vulnerabili? Qual è la frequenza di trattamento del dato? Quanto dura un processo ordinario di accesso al dato? Quale area geografica è coperta? Dove sono conservati fisicamente i dati? |
|
Descrivere sinteticamente il contesto del trattamento – Qual è la relazione tra il Titolare e le persone soggette al trattamento? Quali sono le responsabilità connesse al trattamento? Qual è il grado di controllo che le persone possono esercitare suoi propri dati personali? Ci sono esperienze pregresse di questo stesso tipo di trattamento? Il trattamento fa riferimento a codici di condotta approvati e/o è soggetto a certificazione di terza parte? Che uso della tecnologia si fa nel trattamento? Quanti e quali risorse tecnologiche vengono impiegate? Quante sono le risorse umane impiegate nel trattamento? Che caratteristiche professionali hanno tali risorse umane? |
|
Codice ID trattamento _____________________ Nome Trattamento _______________________
Descrivere le consultazioni – Come si sono o si intendono consultare gli interessati o i loro rappresentanti? Su cosa sarà basata la consultazione? Se si decide di non consultare, quali sono le ragioni a giustificazione di tale scelta? E’ stato coinnvolto il DPO nell’analisi? Sono state coinvolte altre figure professionali specifiche nella valutazione? Se sì quali e che contributo hanno fornito? |
|
Codice ID trattamento _____________________ Nome Trattamento _______________________
Descrivere gli aspetti di necessità, proporzionalità e le misure di garanzia adottate – Gli scopi del trattamento sono specifici, espliciti e legittimi? Quali sono le basi legali che rendono lecito il trattamento? I dati raccolti sono adeguati, pertinenti e limitati a quanto necessario in relazione alla finalità per cui sono trattati (minimizzazione dei dati)? I dati sono esatti e aggiornati? Il periodo di conservazione del dato è verificato con periodicità e sono applicate le procedure previste per il ‘fine vita’ del dato? Come sono informati del trattamento gli interessati? Come si ottiene il consenso degli interessati, quando necessario? Come fanno gli interessati ad esercitare i loro diritti di accesso e di portabilità dei dati? Come fanno gli interessati ad esercitare i loro diritti di rettifica e cancellazione (diritto all’oblio)? Come fanno gli interessati ad esercitare i loro diritti di limitazione e opposizione? Gli obblighi di eventuali Responsabili del trattamento sono disciplinati con chiarezza da un contratto? In caso di trasferimento di dati fuori dall’UE, i dati stessi godono di una protezione equivalente? |
|
Codice ID trattamento _____________________ Nome Trattamento _______________________
PRIMA AZIONE
Identificare i danni specifici potenziali connessi al trattamento |
|
SECONDA AZIONE – Parte 1 di 4
Sistema utilizzato per l’archiviazione |
|
SECONDA AZIONE – Parte 2 di 4
Misure procedurali/organizzative di sicurezza adottate |
|
SECONDA AZIONE – Parte 3 di 4
Misure tecniche di sicurezza adottate – Misure Digitali |
|
SECONDA AZIONE – Parte 4 di 4
Misure tecniche di sicurezza adottate – Misure Fisiche |
|
TERZA AZIONE – Valutazione del rischio Scheda n.___________
(NB Questa è una scheda multipla) Come prima azione selezionare uno Scenario e un Sistema di archiviazione (tra quelli indicati in precedenza) da analizzare nella scheda. L’analisi va svolta su tutti gli scenari indicati, compilando una scheda completa per ogni combinazione Scenario/Sistema di archiviazione precedentemente indicato.
Ad esempio:
– se il Sistema di archiviazione indicato è uno soltanto, le schede da compilare sono quattro;
– se i Sistemi di archiviazione indicati sono due, le schede complessive da compilare sono otto; e così via.
SCENARI MINIMI
| SISTEMA DI ARCHIVIAZIONE
|
1) Quali possibili minacce, per lo scenario e il sistema di archiviazione considerati, possono consentire il concretizzarsi del rischio? |
2) Quali dei danni già indicati in precedenza si possono in questo scenario concretizzare per gli interessati, tenendo conto del sistema di archiviazione analizzato? |
3) Quali sono le misure di mitigazione che, per lo scenario e per il sistema di archiviazione considerati, risultano già applicate? (tra le misure indicate nella SECONDA AZIONE selezionare quelle che risultano utili alla riduzione del rischio in questo scenario) |
4) Quali sono gli eventuali nuovi elementi di vulnerabilità/debolezza del processo di trattamento che si individuano, per lo scenario considerato, a questo stadio dell’analisi? |
5) Su una scala a tre valori (Alto, Medio, Basso) a che valore si pone la Probabilità che questo scenario si presenti nella realtà? |
Probabilità dell’evento nello scenario considerato: Alto (5) Medio (3) Basso (1) |
6) Su una scala a tre valori (Alto, Medio, Basso) a che valore si pone la Gravità del danno che sarebbe prodotto dal realizzarsi di questo scenario nella realtà? |
Gravità del danno generato nello scenario considerato: Alto (5) Medio (3) Basso (1) |
7) Quantificazione Rischio: Rischio= Probabilità x Gravità del danno (punti 6 e 7 precedenti) |
Rischio Alto (Elevato) (da 15 a 25) Medio (da 7 a 14) Basso (da 1 a 6)
|
Codice ID trattamento _____________________ Nome Trattamento _______________________
Dip. ________________________ Ufficio _______________ Servizio _________________________
Note _______________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
MISURA INTEGRATIVA n. __
Tipo di rischio |
|
Descrizione della azione/misura per la riduzione/eliminazione del rischio |
|
Effetto della misura sul rischio esistente (ridotto, eliminato, accettato) |
|
Rischio residuo (Alto, Medio, Basso) |
|
Analisi costi benefici |
|
Approvazione (sì/no) |
|
MISURA INTEGRATIVA n. __
Tipo di rischio |
|
Descrizione della azione/misura per la riduzione/eliminazione del rischio |
|
Effetto della misura sul rischio esistente (ridotto, eliminato, accettato) |
|
Rischio residuo (Alto, Medio, Basso) |
|
Analisi costi benefici |
|
Approvazione (sì/no) |
|
Codice ID trattamento _____________________ Nome Trattamento _______________________
Dip. ________________________ Ufficio _______________ Servizio _________________________
Note _______________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________
Presa di Responsabilità al termine della valutazione
Sezione del DPO | |
Indicazioni del DPO sulla DPIA svolta |
|
Nome Cognome DPO | |
Luogo e data | |
Firma DPO |
Sezione del Titolare | |
Indicazioni del DPO accettate o non accettate? | |
Eventuali osservazioni del Titolare sulle indicazioni espresse dal DPO sulla valutazione svolta | |
Nominativo dell’incaricato delle attività di revisione periodica della DPIA |
|
Eventuali note ulteriori |
|
Nome Cognome del Titolare | |
Luogo e data | |
Firma del Titolare |
CNIL = Commission Nationale de l’Informatique et des Libertés = Garante francese
Data Controller = Titolare del trattamento
Data Processor = Responsabile del trattamento
DPIA = Data Protection Impact Assessment (valutazione d’impatto sulla protezione dei dati)
DPO = Data Protection Officer = RPD
EDPB = European Data Perotection Board = Comitato Europeo per la Protezione dei Dati
Garante nazionale = Garante Privacy italiano = Autorità di Controllo nazionale
ICO = Information Commissioner’s Officer = Garante del Regno Unito
IoT = Internet of Things
Regolamento = Regolamento UE 679/16, GDPR
RPD = Responsabile della Protezione dei Dati = DPO
Titolare del trattamento = Data Controller
WP29 = UE-Article 29 Data Protection Working Party
[Bil1] Bilan M. Ayyub, “Risk Analysis in Engineering and Economics”, University of Maryland, Chapman & Hall/CRC, New York 2003, pp.35-38
[Car1] M. Carbonelli, “Terrorist attacks and natural/anthropic disasters: risk analysis methodologies for supporting security decision-making actors”, International CBRNe Book Series, Aracne editrice, 2019, pp.66-70, pp. 110-123
[Gar1] Garante per la protezione dei dati, Valutazione d’impatto sulla protezione dei dati, https://www.garanteprivacy.it/regolamentoue/DPIA
[Gar2] Garante per la protezione dei dati, Allegato 1 al provvedimento n. 467 dell’11 ottobre 2018 [doc. web n. 9058979] ‘Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto’
[ICO1] Information Commissioner’s Office -UK, ‘GDPR DPIA guidance’, aprile 2018
[UE1] UE-Article 29 Data Protection Working Party, ‘Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679’, WP248 rev.1, 4 ottobre 2017
[UE2] EDPB, Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR), 25 settembre 2018
[UE3] https://edpb.europa.eu/search/site/dpia_en
[UE4] UE-Article 29 Data Protection Working Party, ‘Linee guida per i responsabili della protezione dei dati’, WP 243 rev. 01, aprile 2017
[GDP1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 “Regolamento generale sulla protezione dei dati”
[T4D1] T4Data, “The DPO Handbook: Guidance for data protection officers in the public and quasi‐public sectors on how to ensure compliance with the European Union General Data Protection Regulation”, Elaborated for the EU‐funded “T4DATA” programme (Grant Agreement number: 769100 — T4DATA — REC‐DATA‐2016/REC‐DATA‐2016‐01), luglio 2019
[CNI1] Homepage:https://www.cnil.fr/en/home, DPIA: https://www.cnil.fr/en/privacy-impact-assessment-pia
Articolo a cura di Marco Carbonelli
I modelli di Intelligenza Artificiale (AI) stanno assumendo molto velocemente un grande ruolo nella vita…
Si avvicina la data del Forum Cyber 4.0, che il 3 e 4 Giugno 2024 riunirà a…
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…