Il 22 novembre scorso il CNIL – l’autorità francese per la protezione dei dati – ha rilasciato la versione beta di un software open source per assistere i Titolari di trattamento nell’esecuzione dei DPIA, i Data Protection Impact Assessment previsti dal GDPR. Il tool è scaricabile in locale (per Windows, MacOS, Linux) o fruibile online.

L’art. 35 del GDPR dispone che un DPIA sia condotto dal Titolare quando un trattamento di dati personali “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Nell’intento della nuova normativa, il DPIA permette al data controller di accertare la natura e il livello del “rischio elevato” prima di dare luogo al trattamento in modo da poter anticipatamente introdurre le contromisure necessarie a mitigarne il rischio.

Sebbene la nozione di “rischio elevato” non sia stata definita nel GDPR, il paragrafo 3 dell’art. 35 e il considerando 91 del Regolamento UE 2016/679 descrivono alcune circostanze specifiche per le quali deve essere condotto un DPIA. Il gruppo dei garanti europei Working Party art. 29 ha emesso delle Linee Guida che forniscono al pubblico alcuni utili strumenti interpretativi (qui un nostro approfondimento in merito).

Il tool messo a disposizione dal CNIL è piuttosto semplice ed intuitivo, d’altronde è uno strumento rivolto a tutti i Titolari. Per la conduzione di DPIA complessi, sarà bene che il Titolare ne sviluppi ulteriormente le capacità (non a caso il software è rilasciato in modalità open source) o si avvalga di strumenti più articolati.

Il tool rende sostanzialmente eseguibili tutte le operazioni previste dal paragrafo 7 dell’art. 35 GDPR che richiede:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati;
  4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

La procedura di compilazione è guidata attraverso un sistema di domande e risposte step by step ognuno dei quali sembra ben accompagnato da esempi e spiegazioni: un iter che alterna momenti necessariamente descrittivi (compilazione a campo libero) a check list e strumenti di gradazione di rischi e contromisure. Ad ogni buon conto, un video esplicativo prefigura al computatore il livello di complessità che lo aspetta. Nelle varie sezioni sono spesso richiamabili i più rilevanti principi del GDPR.

Una volta a regime, il tool dovrebbe fornire al Titolare – e al Data Protection Office, se nominato – una sorta di dashboard per gestire proattivamente ma fluidamente la compliance dei trattamenti a rischio. Per ciascun trattamento sottoposto a DPIA sarà prodotto un asse cartesiano del rischio (dove y = gravità, x = probabilità) e a ciascuna istanza potrà essere agganciato un action plan per il miglioramento e la revisione periodica con tanto di scadenziario.

Il tool del CNIL è uno strumento interessante che potrà essere – quantomeno a livello di comprensione sul da farsi – un valido supporto per i titolari che stanno faticando a inquadrare uno dei principali elementi di novità (e complessità) introdotti dal GDPR.

Di certo, la mossa del CNIL di rilasciare al pubblico un software gratuito potrà spiazzare quei vendors che stavano pianificando di mettere sul mercato strumenti simili e che, di conseguenza, sono ora sono chiamati a produrre qualcosa di altamente efficiente per rendere ragionevole l’acquisto di uno strumento a pagamento.

In tal senso, lo scenario si sta facendo interessante. Pochi mesi orsono, l’ICO (la authority britannica) ha pubblicato un Data protection self assessment toolkit per aiutare le organizzazioni a valutare il proprio percorso di adeguamento rispetto agli obblighi introdotti dal GDPR. Uno strumento gratuito che può sottrarre ingenti quote di mercato alle software house che hanno sviluppato tool a pagamento per la GDPR gap analysis.

Di recente, il garante spagnolo (AEPD) ha pubblicato un toolkit di GDPR self-assessment denominato Facilitates RGPD (riservato a chi non esegua trattamenti a rischio elevato assoggettabili a DPIA).

A questo punto le case produttrici di strumenti per il management informatico della compliance di privacy si staranno facendo delle domande riguardo il business plan che avevano probabilmente stilato oltre un anno e mezzo fa, in coincidenza con la pubblicazione del testo definitivo nuovo Regolamento.

Se ci è concesso esagerare, immaginiamo che le software house stiano cercando di capire se – un giorno con l’altro, nei prossimi sei mesi – potrebbe accadere che il Garante italiano rilasci un software esaustivo per la gestione del Registro dei trattamenti, oppure che l’authority tedesca emetta un tool per la gestione della comunicazione/notificazione dei data breach, oppure che il commissioner polacco sviluppi un’intelligenza artificiale per la customizzazione automatizzata di clausole contrattuali cui vincolare i data processor.