Privacy: Regolamento 679/2016 – Software per valutazione di impatto e tutorial per individuazione e gestione del rischio

Circolare n. 29/2018 – CO 10/2018

Sul sito del Garante è stato presentato un software per effettuare la valutazione d’impatto sulla protezione dei dati, richiesta dal Regolamento 679/2016, che si applicherà a partire dal prossimo 25 maggio e un tutorial per l’individuazione e la gestione del rischio.

Sul sito del Garante è stato presentato, lo scorso 27 aprile, un software di ausilio per la realizzazione della valutazione d’impatto sulla protezione dei dati o Data Protection Impact Assessment (DPIA), richiesta dal Regolamento sulla protezione dei dati, che si applicherà a partire dal prossimo 25 maggio.

Il Garante della Privacy, nel corso di questi mesi, ha collaborato con l’omologa Autorità francese per la protezione dei dati (CNIL) ed ha messo a disposizione sul suo sito il collegamento al software gratuito e liberamente scaricabile su https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.

ISTRUZIONI PER L’INSTALLAZIONE: una volta aperta la pagina https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil scorrere fino al titolo “Version portable” e selezionare il tipo di sistema operativo installato sul proprio computer.  Una volta scaricato il software, lanciare l’installazione che sarà effettuata automaticamente nella versione in lingua italiana.

Si tratta di un percorso guidato alla realizzazione della DPIA che è richiesta in tutti i casi in cui il trattamento dei dati può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Il programma offre una sequenza conforme alle indicazioni fornite dal Gruppo dei Garanti europei della privacy (WP29- Linee-guida sulla DPIA) che nelle linee guida avevano individuato dei criteri  in base ai quali si riteneva necessaria effettuarla.

Il Garante nel comunicato di presentazione avvisa che il software non costituisce un modello predefinito al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Il sistema tuttavia, precisa l’Autorità, offre un focus su alcuni elementi principali di cui si compone la procedura di valutazione d’impatto sulla protezione dei dati.

Il software potrebbe costituire, quindi, un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d’impatto che deve essere sempre integrata in ragione delle tipologie di trattamento che si esaminano. E’, inoltre, bene ricordare, precisa l’Autorità, che la valutazione d’impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto.

Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati. Per approfondimenti, relativi all’individuazione e gestione del rischio, il Garante italiano ha realizzato delle slides (in allegato) e predisposto un breve tutorial consultabile al seguente indirizzo https://www.youtube.com/watch?v=tecCZpYUQHs&t=2s.

Sul tema privacy, si ricorda che, come anticipato con lettera del Presidente del 27 aprile scorso, la Federazione sta organizzando, in collaborazione con la Confcommercio, quattro giornate di approfondimento secondo il seguente calendario e aggregazione territoriale:

• Milano – 22 maggio: per gli Associati con sede in Liguria, Lombardia, Piemonte, Valle D’Aosta.
• Vicenza – 23 maggio: per gli Associati con sede in Emilia Romagna, Friuli Venezia Giulia, Trentino Alto Adige, Veneto
• Roma – 6 giugno: per gli Associati con sede in Abruzzo, Campania, Lazio, Marche, Sardegna, Sicilia, Toscana, Umbria
• Bari – 13 giugno: per gli Associati con sede in Basilicata, Calabria, Molise, Puglia

A breve seguiranno le indicazioni logistiche e le modalità di partecipazione.