Google Workspace e la DPIA (Valutazione dei rischi)


In questi ultimi mesi, gli amministratori delle piattaforme Google Workspace hanno ricevuto una mail da Google, che li avvisa sulla possibile necessità di condurre una DPIA.

Il testo della comunicazione proveniente da Google

Dear EDU Administrator,

At Google, we work to protect your data and enable you to demonstrate your privacy compliance when using our services. In order to comply with the General Data Protection Regulation (GDPR), some Cloud customers, including those using Google Workspace for Education, may need to conduct a Data Protection Impact Assessment (DPIA).

To help you start this process, there are a number of resources you can leverage, such as our:

  • [New] Cloud DPIA Resource Center: Outlines the obligations you may have under GDPR to conduct DPIAs, and provides information about our Cloud services (including Google Workspace for Education) that can support you in this work.
  • Privacy Resource Center: Describes our privacy commitments and allows you to access key privacy resources for your DPIA, including information about Google’s certifications and compliance standards.

What do I need to do?

Consider conducting a DPIA. Our Cloud DPIA Resource Center contains information about Google Workspace for Education that helps you to get started.

Seek independent legal advice when determining whether you need a DPIA, and on how best to complete any DPIA that you determine is needed.

We’re here to help

If you have any questions, sign in to the Admin console and contact Google’s Cloud Data Protection Team.

Thanks for choosing Google Workspace for Education.

– The Google Workspace for Education Team

Non solo il Dpo, quindi, ma anche la Dpia. Tra gli obblighi previsti dal Regolamento generale in materia di protezione dei dati (Gdpr) non figura infatti solamente la nomina del Data Protection Officer (Dpo), ma anche la valutazione d’impatto sulla protezione dei dati (Dpia – Data Protection Impact assessment). È un processo inteso a garantire e dimostrare la conformità al regolamento europeo e i rischi legati al trattamento dei dati.
La procedura è prevista dall’articolo 35 del Gdpr:

“Quando un tipo di trattamento, prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

Quando la Dpia è obbligatoria


Se il Dpo è obbligatorio per enti e aziende che effettuano il monitoraggio dei dati in modo regolare e sistematico su larga scala, la Dpia “è obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone”, per esempio quando avviene con l’uso di nuove tecnologie. In particolare il regolamento individua 9 casi specifici:

  1. Trattamento valutativi o di scoring, compresa la profilazione.
  2. Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni).
  3. Il monitoraggio sistematico (videosorveglianza).
  4. Trattamento di dati sensibili, giudiziari o di natura estremamente personale (come le opinioni politiche).
  5. Trattamento dati personali su larga scala.
  6. Trattamento di Big Data.
  7. Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo).
  8. Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, dispositivi IoT, ecc…).
  9. Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

È sufficiente che sussistano due delle nove condizioni per rendere la Dpia obbligatoria.

Perché la Dpia?


Perché è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare del trattamento non soltanto a rispettare il Gdpr, ma anche ad attestare di aver condotto misure idonee a garantire il rispetto del regolamento.

Cosa fara Easyteam.org SRL?


In seguito ai cambiamenti introdotti da Google nelle policies di gestione dei dati, per uniformarsi a quanto richiesto dal Regolamento Europeo GDPR, Easyteam.org SRL provvederà, nel mese di settembre, ad aggiornare tutti i documenti di registro delle attività di trattamento già inviati alle scuole clienti e ad inviare una nuova versione del documento, che conterrà una nuova valutazione dei rischi basata sulle nuove policies di Google Workspace.

Post simili