General Data Protection Regulation

Analisi dei rischi GDPR

La valutazione dei rischi connessi al trattamento dei dati personali raccolti e gestiti all’interno di un’organizzazione pubblica o privata è uno degli adempimenti più rilevanti nella fase di avvio o di revisione nel percorso continuo di adeguamento al GDPR.

Si tratta di un’attività specialistica che richiede una competenza multidisciplinare che comprende conoscenze giuridiche, esperienza tecnica informatica, competenze in materia di sicurezza informatica e capacità di analisi dei processi aziendali; è un’attività particolarmente delicata e rilevante perché rappresenta il riferimento dal quale prendono avvio e in base al quale vengono commisurate ed implementate le misure di sicurezza e protezione dei dati che la normativa impone dover essere di livello adeguato appunto al rischio: di fatto, un errore nella valutazione dei rischi si riflette inevitabilmente in un piano di protezione inadeguato, comportando un carenza di compliance rispetto alla normativa.

Oltre ad avere un’importanza decisiva ai fini dell’adeguamento alla normativa, la valutazione dei rischi rappresenta anche uno strumento utilissimo all’organizzazione aziendale ai fini di tutelare se stessa (e non solo quindi i titolari dei dati trattati) dai rischi di sicurezza informatica, evidenziando le criticità da correggere e ponendo le basi per l’implementazione di misure di sicurezza correttive.

Per questo compito delicato e centrale è bene affidarsi ad un partner affidabile e certificato come Netlux, che dispone di idonee certificazioni e può assolvere su richiesta al ruolo di DPO in outsourcing per qualsiasi azienda, fornendo anche una preziosa consulenza per l’implementazione delle misure di protezione richieste dall’organizzazione aziendale ai fini della compliance normativa.

La procedura comprende una valutazione iniziale generale per tutti i trattamenti svolti in azienda al fine di produrre un documento di valutazione; per ciascun trattamento sarà necessario procedere alla definizione del trattamento, alla comprensione del livello di impatto sugli interessati, alla valutazione del rischio, alla valutazione della probabilità di accadimento di potenziali minacce ed infine al calcolo del rischio generale sul trattamento.

Alcuni dei principali tipi di rischio che possono essere tipicamente individuati possono riguardare il trattamento e la raccolta di dati non necessari in base alla finalità, l’ipotesi di informativa e termini non chiari o trasparenti, quella di dati personali non aggiornati o obsoleti, quella di perdita di dati lato operatore, quella di inefficace o intempestiva cancellazione dei dati personali, quella di condivisione di dati con terze parti, quella di trasferimento dati non sicuro, quella di comunicazione non tempestiva delle violazione di dati, quella di vulnerabilità delle applicazioni web.

La redazione del documento di valutazione generale è obbligatorio ai fini del rispetto del principio di accountability previsto dal GDPR e permette la dimostrazione di aver preso le misure di sicurezza ritenute adeguate ai rischi individuati.

Per i trattamenti per i quali è individuato un livello di rischio elevato per gli interessati la normativa prevede la redazione aggiuntiva di una valutazione d’impatto privacy (denominata Data Protection Impact Assestment, DPIA, nella normativa europea), ovvero un documento che descrive il trattamento effettuato, ne valuta la necessità e la proporzionalità, descrive le modalità di gestione dei rischi per i diritti e le libertà delle persone fisiche e determina le misure per affrontarli.

La DPIA è obbligatoria quando il trattamento determina una profilazione automatizzata, sistematica e globale di dati relativi a persone fisiche, quando il trattamento riguarda dati sensibili o giudiziari su larga scala e quando il trattamento riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Nelle ipotesi in cui la DPIA non trovasse misure idonee a ridurre il livello di rischio ad un livello inferiore a quello elevato è prevista la consultazione dell’autorità di controllo, la quale sarà chiamata ad indicare le misure di sicurezza adeguate alla riduzione del rischio o vietare il trattamento.