L'articolo 35 del GDPR definisce la DPIA come uno strumento che, in ossequio al principio di accountability, consente ai titolari di dimostrare di aver adottato misure appropriate nelle attività di trattamento. È necessario effettuare una valutazione d'impatto per tutti quei trattamenti che possano "...presentare un rischio elevato per i diritti e le libertà delle persone fisiche", ed in particolare quando prevedano l'uso di nuove tecnologie ed in considerazione della natura, dell'oggetto, del contesto e delle finalità.
Il software ideato da IusPrivacy consente di avvalersi di un modulo per la conduzione della DPIA secondo modalità conformi agli standard ISO/IEC 29134:2017.
Il nostro software soddisfa inoltre le prescrizioni delle linee guida fornite dal Gruppo di Lavoro Art 29 in materia di Data Protection Impact Assessment, all'interno dell'Allegato 2 del WP248 rev.01, recante "Criteri riferiti a una DPIA accettabile".
Metodologia per la conduzione del DPIA, Data Privacy Impact Assessment, in linea con le linee guida ISO/IEC 29134:2017(E)
Come va condotta una DPIA?
Lo standard ISO/IEC 29134: 2017 "Information technology - Security techniques - Guidelines for privacy impact assessment" (PIA) fornisce utili linee guida per lo svolgimento della valutazione di impatto sulla protezione dei dati.
In particolare, attraverso detto standard, è possibile valutare l'impatto potenziale per i diritti e le libertà delle persone fisiche legato all'utilizzo degli assets impiegati per il trattamento dei dati personali.
Tali linee guida raccomandano di enunciare gli obiettivi di comunicazione del report della DPIA e di definire le responsabilità nello svolgimento della stessa (clausola 5).
Sono elaborate inoltre le linee guida applicabili al processo di valutazione di impatto, ai fini di determinare se sia necessario condurre la DPIA in relazione ad uno specifico trattamento (clausola 6).
Sono fornite inoltre le linee guida ai fini della predisposizione di un Report di Valutazione di Impatto completo e dettagliato, il quale dovrà contenere lo scopo della DPIA, la valutazione ed il trattamento dei rischi (clausola 7).
WP248 - Criteri per una valutazione d'impatto sulla protezione dei dati (PIA) accettabile
Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per stabilire se sia richiesta una valutazione d'impatto sulla protezione dei dati o meno oppure se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente completa per garantire il rispetto del regolamento generale sulla protezione dei dati:
- una descrizione sistematica del trattamento è fornita (articolo 35, paragrafo 7, lettera a):
- la natura, l'ambito di applicazione, il contesto e le finalità del trattamento sono presi in considerazione (considerando 90);
- vengono registrati i dati personali, i destinatari e il periodo di conservazione dei dati personali;
- viene fornita una descrizione funzionale del trattamento;
- sono individuate le risorse sulle quali si basano i dati personali (hardware, software, reti, persone, canali cartacei o di trasmissione cartacea);
- si tiene conto del rispetto dei codici di condotta approvati (articolo 35, paragrafo 8);
- la necessità e la proporzionalità sono valutate (articolo 35, paragrafo 7, lettera b):
- sono state determinate le misure previste per garantire il rispetto del regolamento (articolo 35, paragrafo 7, lettera d) e considerando 90):
- misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:
- finalità determinate, esplicite e legittime (articolo 5, paragrafo 1, lettera b));
- liceità del trattamento (articolo 6);
- dati personali adeguati, pertinenti e limitati a quanto necessario (articolo 5, paragrafo 1, lettera c));
- limitazione della conservazione (articolo 5, paragrafo 1, lettera e));
- misure che contribuiscono ai diritti degli interessati:
- informazioni fornite all'interessato (articoli 12, 13 e 14);
- diritto di accesso e portabilità dei dati (articoli 15 e 20);
- diritto di rettifica e alla cancellazione (articoli 16, 17 e 19);
- diritto di opposizione e di limitazione di trattamento (articoli 18, 19 e 21);
- rapporti con i responsabili del trattamento (articolo 28);
- garanzie riguardanti trattamenti internazionali (capo V);
- consultazione preventiva (articolo 36).
- i rischi per i diritti e le libertà degli interessati sono gestiti (articolo 35, paragrafo 7 lettera c):
- l'origine, la natura, la particolarità e la gravità dei rischi (cfr. considerando 84) o, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati) vengono determinate dalla prospettiva degli interessati:
- si considerano le fonti di rischio (considerando 90);
- sono individuati gli impatti potenziali per i diritti e le libertà degli interessati in caso di eventi che includono l'accesso illegittimo, la modifica indesiderata e la scomparsa dei dati;
- sono individuate minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati;
- sono stimate la probabilità e la gravità (considerando 90);
- sono determinate le misure previste per gestire tali rischi (articolo 35, paragrafo 7, lettera d) e considerando 90);
- l'origine, la natura, la particolarità e la gravità dei rischi (cfr. considerando 84) o, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati) vengono determinate dalla prospettiva degli interessati:
- le parti interessate sono coinvolte:
- si consulta il responsabile della protezione dei dati (articolo 35, paragrafo 2);
- si raccolgono le opinioni degli interessati o dei loro rappresentanti, ove opportuno (articolo 35, paragrafo 9)