L’analisi dei rischi e la DPIA.
L’ Analisi dei Rischi è un documento sempre indispensabile, al fine di dimostrare l’attività svolta, in caso di ispezione. Infatti, tale report, consente di stabilire il livello di rischio di un eventuale data breach o incidente nella gestione dei dati e i processi di sicurezza presenti o da programmare per la sua mitigazione.
La procedura soddisfa il principio della protezione dei dati «by design e by default» e dell’ “accountability” del Titolare dei trattamenti, responsabile (art. 32) dell’ implementazione di tutte le misure tecniche e organizzative adeguate.
Nell’analisi, divisa per trattamenti, saranno elencati i devices utilizzati per ogni singolo trattamento, le misure adottate e le misure previste.
Una valutazione completa dei rischi dovrebbe comprendere un’attività periodica di test di vulnerabilità (Vulnerability Assessment) e di penetrazione della rete e dei dispositivi connessi (Penetration Test). I risultati di queste attività consentono di motivare le scelte delle misure di sicurezza adottate. La relazione dei test deve essere allegata al documento dell’Analisi dei Rischi.
La DPIA (Data Protection Impact Assessment), prevista dall’art. 35 per alcuni particolari trattamenti, è una sorta di analisi di rischio e di impatto approfondita, il cui risultato deve soddisfare i parametri di sicurezza e di tutela dei diritti fondamentali dei soggetti interessati. L’impossibilità di adottare misure soddisfacenti, comporta la richiesta del parere del Garante della protezione dei dati personali.
La DPIA andrebbe rinnovata periodicamente, almeno ogni 3 anni o quando subentrano novità significative nel trattamento.
I trattamenti che richiedono la DPIA sono quelli massivi, automatizzati, innovativi, particolarmente rischiosi e incisivi sui diritti fondamentali dei soggetti interessati, in particolare quando riguardano soggetti vulnerabili (minori, anziani, malati, etc.).
Ad esempio, una grossa struttura sanitaria dovrà sicuramente effettuare la DPIA per alcuni trattamenti specifici, come pure una media azienda che decide di utilizzare i dati biometrici dei dipendenti per accedere a particolari aree o un impianto di video sorveglianza in grado di riprendere una moltitudine di persone.