Come adeguarsi al GDPR: la mappatura dati personali

Posted onAuthorStefano BendandiLeave a comment

mappatura dati personali
Image coutesy Pixabay

La mappatura dei dati personali rappresenta una attività fondamentale in ogni processo di adeguamento al GDPR (Regolamento UE 679/2916).

La normativa infatti ha previsto il principio della responsabilizzazione del titolare del trattamento. Perciò, il titolare del trattamento deve essere in grado di poter dimostrare in qualsiasi momento che le attività di trattamento rispettino gli obblighi e i requisiti del GDPR.

Tuttavia, nessun titolare può fornire questa prova, senza conoscere bene quali dati tratta, per quali finalità li tratta, in quale contesto li tratta, come li tratta e dove li conserva.

Basti pensare che non è possibile rispondere ad una richiesta di cancellazione dei dati, se non si sa quali dati cancellare e come cancellarli da tutti i supporti, digitali o cartacei, sui quali essi sono conservati.

Mappare i dati personali: cosa significa

Mappare i dati personali significa creare una relazione tra i dati trattati ed altri aspetti dell’organizzazione che li tratta, come:

  1. i processi aziendali che usano i dati personali,
  2. le persone autorizzate a trattare i dati personali,
  3. le operazioni di trattamento compiute sui dati (es. acquisizione, consultazione, modifica, cancellazione, ecc.),
  4. le risorse (asset) utilizzate per trattare i dati (es. infrastrutture fisiche, hardware, software, pc client, stampanti, ecc.)

La relazione può essere rappresentata in vario modo, ad esempio con un diagramma, uno schema o una mappa mentale.

In ogni caso la mappatura dei dati personali è un processo che deve considerare gli eventuali cambiamenti che intervengono in una o più delle quattro aree indicate: processi, persone, operazioni e risorse.

Quindi, ogni volta che si verifica un cambiamento in una di queste aree la mappa dei dati personali deve essere aggiornata in modo corrispondente.

Soltanto in questo modo la mappa può fornire indicazioni utili sempre aggiornate.

Adeguamento al GDPR: come creare un diagramma dei dati personali

Il processo di mappatura dei dati personali prevede tre fasi differenti:

  1. delimitare il contesto dei trattamenti,
  2. descrivere il ciclo di vita dei dati personali,
  3. individuare le risorse (asset) utilizzate nelle operazioni di trattamento

1. Delimitare il contesto dei trattamenti

Questa attività consente di collegare i dati personali ai processi aziendali che li utilizzano. In questo modo i dati sono riferiti ad un contesto determinato.

L’esplorazione dei dati personali trattati da ogni processo dell’organizzazione del titolare può essere guidata dalle seguenti domande:

  • Che tipo di dati personali sono trattati?
  • Chi è il responsabile dei dati all’interno dell’organizzazione?
  • Per quali finalità i dati sono trattati?
  • A chi si riferiscono i dati trattati?
  • A chi sono comunicati i dati trattati, dentro e fuori l’organizzazione?

2. Descrivere il ciclo di vita dei dati personali

Il ciclo di vita dei dati personali include tutte le operazioni di trattamento dei dati.

Queste operazioni da un lato sono collegate alle persone autorizzate a compierle e, dall’altro, alle persone o altre entità, all’esterno dell’organizzazione, che possono venire a conoscenza dei dati.

Ecco alcune domande guida per comprendere il ciclo di vita dei dati personali trattati:

  1. Acquisizione: Chi può acquisire i dati trattati?
  2. Registrazione: Chi può registrare i dati trattati? In che formato sono registrati i dati ?
  3. Strutturazione: I dati sono strutturati? Come sono strutturati?
  4. Conservazione: Per quanto tempo sono conservati i dati trattati?
  5. Accesso: Chi può accedere ai dati trattati?
  6. Modifica: Chi può modificare i dati trattati?
  7. Cancellazione/Distruzione: Chi può cancellare i dati trattati?
  8. Comunicazione: Chi comunica i dati trattati? A chi sono comunicati?
  9. Trasferimento: Chi trasferisce i dati trattati? A chi sono trasferiti? Qual’è la base giuridica del trasferimento?
  10. Estrazione: Chi può estrarre i dati trattati?
  11. Interconnessione: I dati sono collegati ad altri dati personali? Di che genere?

La domanda al nr. 4 è di particolare importanza. Infatti, risponde all’obbligo di limitare la conservazione dei dati personali ad un periodo di tempo predeterminato (art. 5, par. 1, lett e). 

E la durata di conservazione va dichiarata nelle informative di trattamento. 

3. Individuare le risorse di supporto

Ogni operazione di trattamento usa una o più risorse (asset) di supporto. Perciò, identificare tali risorse è di primaria importanza perchè ogni una risorsa può avere delle vulnerabilità che possono essere sfruttate per violare i dati.

Quindi, conoscere le risorse di supporto è il primo passo per individuare anche le vulnerabilità e le minacce. Ci sono vari tipi di risorse di supporto, ecco alcuni esempi:

  • infrastrutture fisiche: locali, ecc.
  • hardware: pc client e server, stampanti, tablet, smartphone, ecc.
  • software: applicazioni, cloud, ecc.
  • reti: cablata, wifi, ecc.
  • persone: utenti, amministratori, sviluppatori, manager, ecc.
  • strumenti cartacei: stampe, fotocopie, ecc.
  • canali di trasmissione: posta, workflow, ecc.

Le seguenti domande possono aiutarci ad individuare le risorse utilizzate per trattare dati personali:

  1. Acquisizione: quali risorse consentono di acquisire i dati trattati ?
  2. Registrazione: quali risorse consentono di registrare i dati trattati ?
  3. Strutturazione: quali risorse consentono di strutturare i dati trattati?
  4. Conservazione: quali risorse consentono di conservare i dati trattati?
  5. Accesso: quali risorse consentono di accedere ai dati trattati?
  6. Modifica: quali risorse consentono di modificare i dati trattati?
  7. Cancellazione/Distruzione: quali risorse consentono di cancellare i dati trattati?
  8. Comunicazione: quali risorse consentono di comunicare i dati trattati?
  9. Trasferimento: quali risorse consentono di trasferire i dati trattati?
  10. Estrazione: quali risorse consentono di estrarre i dati trattati?
  11. Interconnessione: quali risorse consentono di connettere i dati trattati ad altri?

I benefici della mappatura dei dati personali

Creare una mappa dei dati personali trattati porta diversi benefici sebbene si tratti di una attività impegnativa.

Innanzitutto, aiuta a comprendere in modo dettagliato e specifico quali dati personali sono trattati, come sono trattati e dove sono dislocati.

Poi, permette ad un organizzazione di dimostrare il rispetto degli obblighi e dei principi dettati dal GDPR, tra i quali c’è anche quello di di rispondere con tempestività alle richieste degli interessati di esercitare i propri diritti (art. 15-22 GDPR).

Inoltre, fornisce una base per effettuare eventuali valutazioni d’impatto sulla protezione dei dati personali (art. 35 GDPR).

Ed, infine, facilita la creazione del registro dei trattamenti (art. 30 GDPR) che deve contenere le seguenti informazioni:

    • le finalità del trattamento,
    • il tipo di dati personali trattati e i soggetti (interessati) a cui si riferiscono,
    • le categorie di destinatari ai quali i dati sono comunicati,
    • i trasferimenti di dati personali al di fuori dell’UE,
    • i termini per la cancellazione dei dati

Iscriviti alla nostra newsletter e unisciti agli altri.
Proteggiamo la riservatezza dei tuoi dati e li utilizziamo solo per inviarti la newsletter. Se hai dato il consenso i tuoi dati saranno utilizzati anche per finalità di marketing e comunicazione commerciale. I tuoi dati saranno condivisi soltanto con i fornitori di servizi essenziali che permettono l'invio della newsletter e di altre comunicazioni. Per maggiori informazioni consulta la Privacy Policy
Do il consenso per trattare i miei dati personali a scopo di marketing
Condividi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.