Determinazione dei mezzi
Home » GDPR » Concetti principali » Protezione dei dati per progettazione e per impostazione predefinita » Applicazione dei principi di protezione dei dati nelle diverse fasi del trattamento » Determinazione dei mezzi

La seguente sottosezione descrive come identificare le misure tecniche e organizzative appropriate quando si determinano i mezzi.

Mentre la determinazione degli scopi del trattamento specifica il “cosa” deve essere raggiunto dal trattamento, la determinazione dei mezzi specifica il “come” questo obiettivo è raggiunto. In ogni passo della determinazione di questo “come”, i principi e i requisiti della protezione dei dati devono essere presi in considerazione.

La determinazione dei mezzi può essere vista come il risultato di un piano di attuazione dell’attività di trattamento. Comporta risorse, istruzioni e misure tecniche e organizzative. Queste ultime sono destinate ad attuare i principi di protezione dei dati. Per una discussione dettagliata delle misure che attuano i vari principi, si veda la sezione delle Linee guida sui principi (si veda la sezione “Principi” nella parte II di queste Linee guida).

Gestire il processo di determinazione dei mezzi

La determinazione dei mezzi è spesso un processo sostanziale che generalmente coinvolge una moltitudine di persone, campi di competenza, unità organizzative o dipartimenti, e può anche coinvolgere consulenti ed esperti esterni.

La prima misura (meta-) organizzativa consiste quindi nell’impostare il processo di determinazione dei mezzi in modo che sia conforme alla protezione dei dati per progettazione. Questa misura viene chiamata “metamisura”, poiché è destinata a identificare le misure che attuano effettivamente i principi della protezione dei dati. La metamisura deve assegnare chiare responsabilità alla direzione superiore:

  • La direzione superiore che rappresenta legalmente il titolare del trattamento deve avere il controllo di questo processo e incaricare che la protezione dei dati sia adeguatamente presa in considerazione in ogni passo e decisione.
  • La direzione superiore deve essere in grado di progettare se i mezzi determinati (cioè il risultato di questo processo) sono effettivamente conformi ai requisiti della protezione dei dati.
  • Alla fine di questo processo, spetta alla direzione superiore approvare i mezzi determinati e dare il via libera alle operazioni di trattamento vere e proprie (il trattamento stesso).

Ci sono diverse possibili misure (meta-) organizzative su come raggiungere questo obiettivo. Alcuni esempi sono elencati di seguito:

  • Ogni passo o decisione presa come parte della determinazione dei mezzi deve descrivere i requisiti di protezione dei dati pertinenti e come sono stati applicati o altrimenti soddisfatti.
  • Se si sceglie[1][2] un approccio a tappe, qualsiasi transizione dei cancelli di tappa deve essere soggetta all’approvazione degli aspetti di protezione dei dati.
  • Una chiara designazione delle persone responsabili di determinare se i requisiti di protezione dei dati sono stati soddisfatti nelle singole fasi dovrebbe essere fatta.
  • Se disponibile, il responsabile della protezione dei dati (DPO)[3]dovrebbe essere coinvolto nel processo.
  • (Continua) la documentazione (cioè, la dimostrazione) di considerare e incorporare la protezione dei dati dovrebbe essere parte integrante del processo. Questo serve sia per soddisfare il principio di responsabilità (vedi Art. 5(2) GDPR) sia come base per la determinazione da parte della direzione superiore per la loro decisione di proteggere i dati. 5(2) GDPR) e come base per la determinazione da parte della direzione superiore per la loro decisione di approvare formalmente il risultato da utilizzare operativamente (cioè, un via libera al trattamento stesso).

Il processo di determinazione dei mezzi ha inevitabilmente bisogno di valutare l’efficacia delle varie misure (vedere la discussione sull’efficacia nella sezione 0 sopra). Questo generalmente richiede di eseguire:

  • valutazioni del rischio
  • indagini sul livello di sviluppo o del mercato

Si noti che lo strumento formale previsto dal GDPR per valutare l’efficacia delle misure di protezione dei dati è la valutazione d’impatto sulla protezione dei dati (DPIA, vedi art. 35 GDPR) (vedi “DPIA”, Parte II, sezione “Strumenti e azioni principali”). Sia la valutazione del rischio che la descrizione delle misure sono contenute nelle sue parti obbligatorie. Una DPIA è formalmente richiesta dal GDPR solo in presenza di un rischio elevato, ma può essere utilizzata informalmente nel processo interno. Una DPIA è anche uno strumento primario per documentare la conformità con la protezione dei dati attraverso la progettazione.

Almeno le organizzazioni più grandi con diverse attività di elaborazione distinte possono beneficiare dell’uso di un approccio più sistematico di determinazione dei mezzi. Questo può includere quanto segue:

  • L’uso di politiche di protezione dei dati che sono applicabili a più attività di trattamento e possono quindi portare economia di scala (vedi art. 24(2) GDPR).
  • L’identificazione e l’applicazione di codici di condotta applicabili a livello di settore possono risparmiare sforzi e migliorare la qualità dell’attuazione (cfr. art. 24(3) del GDPR). 24(3) GDPR).

Il risultato finale di un processo riuscito di determinazione dei mezzi è un’approvazione chiara e documentata dei mezzi e un via libera da parte della direzione superiore che rappresenta il titolare del trattamento. Il via libera è necessario affinché il titolare del trattamento si assuma la piena responsabilità del trattamento (vedi art. 29 GDPR). Come base aggiuntiva per la decisione dell’autorizzazione, i titolari del trattamento possono chiedere una certificazione formale secondo l’Art. 42 GDPR (cfr. Art. 24(3) GDPR). La certificazione rappresenta un’attestazione formale di conformità al GDPR. Un’autorizzazione documentata è un prerequisito per l’inizio della fase operativa del trattamento (il trattamento stesso).

Valutare l’efficacia delle misure relative ai principi di protezione dei dati

Il processo di cui sopra dovrebbe adottare un approccio sistematico per applicare tutti i principi di protezione dei dati in modo sistematico a tutte le decisioni sui mezzi. In particolare, ogni principio deve essere applicato con misure tecniche e organizzative. Si deve dimostrare che queste misure sono efficaci per quanto riguarda

  • i rischi di diversa probabilità e gravità per i diritti e le libertà delle persone fisiche posti dal trattamento“,
  • il costo dell’implementazione“,
  • il livello di sviluppo“, e
  • la natura, la portata, il contesto e le finalità del trattamento

(vedere la sezione 0 sopra).

Quando si valuta il rischio (vedi primo punto), un rischio fondamentale è che il principio sia violato o insufficientemente garantito. Questo potrebbe essere il caso per tutti gli interessati o per gruppi speciali o minoranze. Gli interessati vulnerabili che sono stati eventualmente identificati durante la determinazione delle finalità dovrebbero essere presi in considerazione (vedi sezione 0).

Per valutare il terzo aspetto dell’efficacia, può essere necessario realizzare indagini sul livello di sviluppo.

Un modo per valutare l’efficacia delle misure è quello di utilizzare un approccio iterativo che è molto simile a quello utilizzato per determinare gli scopi (vedi Figura 6). Invece di una versione della specifica degli scopi, si valuta un piano di implementazione concreto. Questo piano comporta sia risorse, istruzioni e misure tecniche e organizzative già previste (si veda la sezione “Principi” nella parte II di queste Linee guida). In ogni iterazione, si valuta l’efficacia delle misure e si migliora il piano in base alle carenze individuate. Il processo iterativo termina quando è stato trovato un piano di implementazione con misure efficaci.

Per rendere sistematico questo processo, ogni compito che risulta in una decisione sui mezzi deve essere valutato rispetto a tutti i principi. La sezione 0 sopra ha fornito una panoramica dei possibili compiti. La suddivisione precisa della determinazione globale in compiti dipende però dalla natura, dalla portata, dal contesto e dagli scopi dell’attività di trattamento. È quindi necessario adattare la suddivisione in compiti alla situazione concreta.

 

 

  1. Vedi per esempio, https://en.wikipedia.org/wiki/Phase-gate_process (ultima visita 13/7/2021).
  2. Si noti che le tappe non sono limitate alla gestione “waterfall”, ma esistono anche nei metodi agili, come l’Agile Unified Process, vedi http://www.ambysoft.com/unifiedprocess/aup11/html/phases.html (ultima visita 13/7/2021).
  3. Si noti che il responsabile della protezione dei dati non ha la responsabilità diretta della conformità, ma è l’esperto interno che probabilmente ha più familiarità con i requisiti del GDPR (si veda anche l’art. 39(1)(a) a (c) GDPR).

 

Skip to content