Il concetto di GDPR assessment fa direttamente riferimento all’articolo 35 del Regolamento generale sulla data privacy dal titolo “Valutazione d’impatto sulla protezione dei dati” che dice “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

Principio di accountability e GDPR assessment checklist

Il GDPR introduce il principio di accountability (uno dei fattori fondanti di tutto l’impianto normativo) che prevede che il titolare del trattamento dei dati sia in grado di dar conto di tutto quel che si è fatto o si deve fare per proteggere i dati. Non gli si chiede cioè di compiere delle azioni specifiche ma di dimostrare di avere fatto tutto quel che rende la sua azienda conforme alle regole.

Alla luce di questa importante rivoluzione concettuale, le aziende non hanno una lista di cose da fare; in pratica sono costrette a una verifica costante delle attività previste ed effettivamente realizzate, degli indicatori di performance in base ai quali evidenziare l’avanzamento dei compiti necessari per rendere l’azienda compliant alla normativa: si tratta della GDPR assessment checklist.

Vari tool software offrono modelli di questionario GDPR assessment

Sul mercato sono proposte varie applicazioni che aiutano le aziende a fotografare la loro situazione in merito agli adempimenti stabiliti dal GDPR: questionari di auto assessment includono domande su aspetti normativi, organizzativi, tecnologici. Sono cioè suggeriti modelli in cui vi sono quesiti che vanno dai ruoli e responsabilità delle figure professionali coinvolte, alle soluzioni tecniche adottate per la prevenzione dei rischi di compromissione dei dati.

Sono per lo più di software erogati via cloud che consentono di avere una visione precisa di quel che si sta facendo e possono elaborare, tra l’altro, report dettagliati.

L’analisi dei rischi, secondo il GDPR, riguarda non solo la patologia ma anche la fisiologia del trattamento del dato

Secondo il Regolamento europeo le aziende non si devono preoccupare solo di reagire a eventuali attacchi ai dati, ma è necessario che impostino il trattamento del dato in modo che sia sicuro sin da quando viene progettato il servizio che richiede il trattamento stesso.

Il self assessment richiesto dal GDPR è quindi direttamente collegato anche ai principi di Privacy by design e Privacy by default. È necessario verificare che nelle procedure di costruzione di un servizio o di una applicazione siano sin da subito considerati gli eventuali rischi per i dati; inoltre, va stabilito che siano raccolti e usati solo i dati necessari per il servizio stesso e nel suo periodo di fornitura.

Questo significa progettare l’innovazione alla luce del GDPR e comporta un’analisi precisa di tutto il sistema di sviluppo delle applicazioni ovunque questo lavoro si svolga (ormai sempre più anche al di fuori delle divisioni IT aziendali).

Il risultato del self assessment, il contenuto della valutazione di impatto (DPIA – Data protection impact assessment)

La valutazione di impatto (più spesso definita in inglese Data Protection Impact Assesement – DPIA) è quindi il risultato del lavoro di GDPR assessment. Non è un punto di arrivo, ma consiste in un vero e proprio processo legato alla progettazione di un nuovo trattamento.

Il contenuto di una Data Protection Impact Assesement è prescritto sempre nell’articolo 35 comma 7 del GDPR e consiste in una “descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento; una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; una valutazione dei rischi per i diritti e le libertà degli interessati;  le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre pestone in questione”.