Tipologie di trattamenti soggetti a DPIA

L’Autorità di Controllo italiana (Garante per la Protezione dei Dati Personali) ha predisposto un elenco (ovviamente non esaustivo) delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento.

  1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
  4. Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
  5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8).
  6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
  7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01.
  8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
  9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
  10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
  11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento
  12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Sono ovviamente sempre valide le precedenti indicazioni fornite dalla Autority su quando occorra effettuare una DPIA.

F.A.Q. Registro dei Trattamenti

Il Garante per la Protezione dei Dati Personali ha pubblicato, in una apposita pagina, le faq sul Registro dei Trattamenti; ne avevo parlato pochi giorni orsono.

Relativamente alle aziende private, i soggetti obbligati ad averlo ed aggiornarlo sono così individuabili:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Sono quindi individuati alcune tipologie di titolari del trattamento che debbono provvedere alla tenuta del Registro dei Trattamenti:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Gestire un Data Breach

Ormai quasi tutti sanno cosa sia un data breach.

Pochi sanno che occorra una valida e predisposta procedura per la sua gestione.

Nelle 72 ore successive a quando se ne è avuta conoscenza, occorre valutare se effettuare la comunicazione all’Autorità di Controllo e agli interessati i cui dati sono stati oggetto di data breach.

In alcune tipologie di data breach, avremo un sistema informatico compromesso, dal quale un soggetto malintenzionato starà effettuando attività penalmente rilevanti; occorrerà quindi effettuare le attività di raccolta delle evidenze, adottando le riconosciute procedure di computer forensic.

Nella procedura di gestione del data breach occorrerà effettuare una seria analisi dell’evento, evidenziando il livello di rischio indotto sugli interessati dalla violazione dei dati personali, tramite un procedimento analitico documentato e dimostrabile a terzi. A tale scopo, ho predisposto un modello di valutazione del rischio relativo al data breach.

Nelle realtà medio-grandi consiglio la predisposizione di un “crisis team“, nel quale un D.P.O. sarà il punto di riferimento.

Segnalo che ogni evento data breach, anche se non necessita di segnalazione, deve essere registrato nel registro dei data breach.

In ogni caso si deve analizzare l’accaduto per adottare le necessarie misure correttive, onde ridurre la probabilità che l’evento avverso si ripresenti, magari in forma aggravata.

GDPR e 231

Abbiamo già detto che la protezione dei dati personali non è più (non lo è mai stato) produrre scartoffie che nessuno legge, conosce o applica; si tratta di implementare un modello di gestione.

Alcuni lo chiamano Sistema Gestione Privacy (S.G.S.), altri lo definiscono Modello Organizzativo Privacy (M.O.P.).

Per quanto mi riguarda, ritengo che la definizione “privacy” da tempo non sia più adeguata, ma occorra adottare la più rispondente “dataprotection“.

Putroppo per i non anglofoni, anche in questo caso il linguaggio inglese si adatta meglio a descrivere, con due sole parole, il concetto: DataProtection Model (l’acronimo potrebbe essere D.P.M.).

Quindi tutte le aziende che vorranno essere costantemente “compliant” al GDPR, dovranno adottare, ed esercire, un DataProtection Model, con i relativi “innesti” ai processi esistenti e la creazione di quelli necessari.

Dato che molte aziende hanno già adottato altri modelli organizzativi e/o sistemi di gestione (es. Gestione Qualità, Gestione Ambientale, Responsabilità Amministrativa delle Aziende, ecc.), ci sono diverse attività che si sovrappongono.

Il D.Lgs. 231/01 e Regolamento 679/2016 condividono il concetto di “valutazione del rischio”; in effetti essi risultano avere vari “punti di contatto”, tra i quali:

  • reati informatici;
  • trattamento illecito di dati;
  • software illegale;
  • whistleblowing;
  • in alcuni ambiti, sicurezza informatica.

Il D.Lgs. 231 è attualmente obbligatorio solo per le società quotate; in Senato è all’esame un decreto legge che ne estenderebbe l’obbligo alle società di capitali che abbiano avuto, in uno degli ultimi tre esercizi, un attivo patrimoniale non inferiore a 4.400.000 euro oppure ricavi non inferiori ad 8.800.000 euro.

Insieme ad altri colleghi esperti, abbiamo valutato l’opportunità di creare un modello integrato GDPR – D.Lgs. 196/03+101/18 – D.Lgs. 231/01; stiamo quindi lavorando su questo nuovo modello, che presto potrà essere adottato ed implementato dalle aziende italiane.

Modello di valutazione del rischio da Data Breach

Come sappiamo, qualora occorra un Data Breach, il nuovo Regolamento UE 679/2016 prescrive, a carico del Titolare del Trattamento (ma anche del Responsabile esterno qualora la violazione avvenga presso di esso) degli obblighi stringenti, relativi alla comunicazione alla autorità di controllo e talvolta ai soggetti interessati dalla violazione.

Non sempre la comunicazione al Garante (e quindi di conseguenza la comunicazione agli interessati) è obbligatoria; si deve fare a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Occorre quindi stabilire il livello di rischio che la violazione dei dati personali induce (può indurre) a carico delle persone che sono state oggetto della violazione; una violazione dei dati personali può determinarsi da una molteplicità di eventi avversi, dalla perdita di un dispositivo mobile, dal furto di un asset IT, dalla penetrazione di una rete o di un servizio IT, dalla perdita di confidenzialità dei dati, da un incendio o allagamento che ha interessato un archivio o datacenter, sino al server colpito da malware.

Data la molteplicità degli eventi avversi e le loro caratteristiche “mutevoli” a seconda del contesto, è molto complesso definire in modo appropriato e dimostrabile il reale livello di rischio. A tale scopo, ho predisposto un modello analitico di valutazione del rischio determinatosi a seguito di una violazione di dati personali.

Lo adotto sempre in ogni tipologia di data-breach, quando sono chiamato a valutare il singolo evento avverso.

Ricordo che ogni azienda deve aver gia predisposto le corrette procedure di gestione del data-breach, e (specialmente nelle organizzazioni più strutturate) definito una unità di crisi.

72 ore senza sapere cosa fare trascorrono molto velocemente.


GDPR ed il “vestito su misura”

Tra gli addetti ai lavori, ha preso campo il concetto di “vestito su misura”  oppure “abito sartoriale”, riferito ai processi di adeguamento di ogni diversa organizzazione.

Trascurando poche realtà, ogni organizzazione ha caratteristiche che necessitano di soluzioni “ad hoc” per l’adeguamento al GDPR; anche il corso di formazione deve essere specifico, centrato sui loro trattamenti e sui relativi processi e flussi di dati, nonchè sui rischi incombenti e sulle buone prassi operative da adottare.

Stamani ho visto gli “artefatti” generati da un software che consentirebbe (a dire del produttore) di adeguarsi ai requisiti del GDPR;
ebbene, dei documenti che ho visionato:

  • registro dei trattamenti;
  • informative ai clienti;
  • informative ai fornitori;
  • informative ai dipendenti;
  • lettere di nomina responsabile esterno;
  • lettere di incarico agli incaricati – soggetti designati dal titolare;

nessuno di questi aveva le necessarie caratteristiche richieste dal Regolamento, con la “chiccache il registro dei trattamenti mancava di campi obbligatori mentre aveva campi assolutamente inutili (se non controproducenti).

Quindi, in ambiti di media complessità (che purtroppo riscontro anche in micro imprese “pesantemente” informatizzate), diffidate non solo delle soluzioni “pret-a-porter”, ma anche dei pacchetti di consulenza offerti dalle associazioni di categoria ad un prezzo stracciato.

Spesso chi vi predispone i documenti non ha ben chiaro cosa vi stia scritto; oggi anche una inidonea informativa è sanzionata con importi astronomici.

E del fatto che oggi, in vigenza del GDPR, la dataprotection non si realizzi stampando qualche documento, avevo mai scritto?

GDPR art. 42 Certificazione

Da alcune settimane, UNI (Ente Italiano di Normazione) ha pubblicato una nuova Prassi di Riferimento UNI/PdR 43:2018, frutto di un lavoro congiunto di UNI ed AIP, coordinato da UNINFO.

La Prassi di Riferimento si compone di due sezioni:
UNI/PdR 43.1 “Gestione e monitoraggio dei dati personali in ambito ICT”;
UNI/PdR 43.2 “Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT”.

Essa si candida a divenire un “meccanismo di certificazione”, come previsto all’art. 42 del Regolamento Europeo 679/2016.

Quindi, già adesso, i Titolari del Trattamento possono certificare la propria “infrastruttura di trattamento” dei dati personali.

Sono a disposizione per affiancare le organizzazioni nelle attività di adeguamento e certificazione alle PdR 43:2018.