DPIA Data Protection Impact Assessment.

Un DPIA è l'analisi strutturata che il GDPR richiede prima di qualsiasi trattamento ad alto rischio. Documenta natura, portata, contesto e finalità; valuta necessità e proporzionalità; individua le misure di attenuazione. La CNIL mette a disposizione gratuitamente un tool PIA: è consigliabile utilizzarlo. Omettere un DPIA quando era obbligatorio è uno dei modi più diretti per attirare una visita dell'autorità di controllo.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

Il punto di vista di Cyber Academy

Un DPIA è l'analisi strutturata che il GDPR richiede prima di qualsiasi trattamento ad alto rischio. Documenta natura, portata, contesto e finalità; valuta necessità e proporzionalità; individua le misure di attenuazione. La CNIL mette a disposizione gratuitamente un tool PIA: è consigliabile utilizzarlo. Omettere un DPIA quando era obbligatorio è uno dei modi più diretti per attirare una visita dell'autorità di controllo.

Quando è richiesta una DPIA, e quando non lo è

Una Valutazione d'Impatto sulla Protezione dei Dati non è un adempimento formale che si produce per ogni progetto. Il GDPR la lega a un unico fattore scatenante: un trattamento che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il testo cita alcune situazioni in cui la valutazione è obbligatoria, come la profilazione sistematica e approfondita che produce effetti giuridici o effetti significativi analoghi, il trattamento su larga scala di categorie particolari di dati e la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Le autorità di controllo nazionali pubblicano poi i propri elenchi delle operazioni che richiedono sempre una DPIA, e elenchi di operazioni che non la richiedono.

In pratica si parte da una verifica preliminare. Confrontate con il trattamento un breve elenco di criteri di rischio, del tipo pubblicato dal Comitato europeo per la protezione dei dati, e contate quanti si applicano. Combinazioni come la valutazione o l'attribuzione di un punteggio unite a un processo decisionale automatizzato, oppure i dati sensibili uniti a un trattamento su larga scala, vi fanno superare la soglia. Quando la risposta è incerta, la posizione difendibile consiste nel documentare perché avete concluso che una DPIA completa non era necessaria, e non nell'eludere silenziosamente la questione.

Cosa contiene la valutazione

Il GDPR fissa un contenuto minimo. Una DPIA deve contenere una descrizione sistematica delle operazioni di trattamento e delle finalità, una valutazione della necessità e della proporzionalità del trattamento in relazione a tali finalità, una valutazione dei rischi per i diritti e le libertà degli interessati, e le misure previste per affrontare tali rischi, comprese le garanzie e le misure di sicurezza. La CNIL mette a disposizione gratuitamente un software PIA che vi guida esattamente attraverso questa struttura, e non c'è motivo di ricostruirla da zero.

La necessità e la proporzionalità sono il punto in cui la maggior parte delle valutazioni risulta carente. Si tratta di un test giuridico, non di sicurezza: ogni campo di dati è realmente necessario per la finalità dichiarata, il periodo di conservazione è giustificato, esiste una base giuridica, i diritti degli interessati sono garantiti. L'analisi del rischio è la parte di taglio più vicino alla sicurezza, e attinge direttamente alla pratica della gestione del rischio. È qui che ISO 27005 ed EBIOS Risk Manager vi forniscono il vocabolario delle minacce, degli eventi temuti, della probabilità e della gravità. Una DPIA valuta il rischio per le persone i cui dati sono trattati, non il rischio per l'organizzazione, ed è questa la distinzione su cui si inciampa.

Chi la effettua, e come resta viva

Il titolare del trattamento è responsabile dell'effettuazione della DPIA. Qualora sia designato un Responsabile della Protezione dei Dati, il titolare del trattamento deve consultarlo, e il DPO di norma riesamina la valutazione e ne monitora lo svolgimento. Dovreste inoltre raccogliere il parere degli interessati o dei loro rappresentanti, ove opportuno. I responsabili del trattamento hanno il dovere di assistere. Se, dopo la mitigazione, il rischio residuo resta elevato e non potete ridurlo, il GDPR impone la consultazione preventiva dell'autorità di controllo prima dell'avvio del trattamento.

Una DPIA è un documento vivo. Il titolare del trattamento deve riesaminarla quando si verifica una variazione del rischio rappresentato dal trattamento, per esempio un nuovo flusso di dati, una nuova tecnologia, una nuova finalità o un nuovo sub-responsabile. Trattatela come un'attività continua: un ritmo utile consiste nel riesaminare le valutazioni secondo un ciclo definito e ogniqualvolta la progettazione cambia, anziché archiviarle una volta per tutte e dimenticarle.

La DPIA a confronto con una valutazione del rischio generale
DimensioneDPIAValutazione del rischio di sicurezza generale
Fattore scatenanteTrattamento di dati personali a rischio elevatoQualsiasi asset, sistema o processo rientrante nel perimetro
Oggetto del rischioDiritti e libertà delle persone fisicheL'organizzazione e i suoi asset
Status giuridicoObbligatoria ai sensi del GDPR quando è attivataGuidata da una politica o da standard come ISO 27001
Metodo tipicoSoftware PIA della CNIL, criteri dell'EDPB, test di necessitàISO 27005, EBIOS Risk Manager
EsitoMisure di mitigazione più un'eventuale consultazione preventivaPiano di trattamento e accettazione del rischio residuo

Frequently asked questions

01Una DPIA è obbligatoria per ogni attività di trattamento?

No. È richiesta solo quando il trattamento può presentare un rischio elevato per le persone fisiche. Si effettua dapprima una verifica preliminare rispetto ai criteri pubblicati dalla vostra autorità di controllo e dall'EDPB, e si documenta la conclusione della verifica in entrambi i casi.

02Qual è la differenza tra una DPIA e una PIA?

Descrivono lo stesso esercizio. DPIA è il termine usato nel GDPR. PIA, Privacy Impact Assessment, è la denominazione più ampia e più antica, ed è il nome che la CNIL attribuisce al suo software gratuito.

03Cosa succede se il rischio residuo resta elevato dopo la mitigazione?

Il GDPR impone la consultazione preventiva dell'autorità di controllo prima dell'avvio del trattamento. L'autorità può fornire indicazioni e, qualora il trattamento violasse il regolamento, esercitare i propri poteri correttivi.

04Chi è responsabile dell'effettuazione della DPIA?

Il titolare del trattamento. Qualora sia designato un DPO, il titolare del trattamento deve consultarlo e il DPO monitora lo svolgimento. I responsabili del trattamento devono assistere, e dovreste raccogliere il parere degli interessati ove opportuno.

05Quando una DPIA deve essere riesaminata?

Ogniqualvolta cambia il rischio rappresentato dal trattamento: una nuova finalità, un nuovo flusso di dati, una nuova tecnologia o un nuovo sub-responsabile. Trattatela come un documento vivo soggetto a un ciclo di riesame regolare, non come un esercizio una tantum.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.