PILLOLE PRIVACY N° 13 – RISCHI E PRIORITÀ
Pillola 13
GESTIRE IL RISCHIO E STABILIRE LE PRIORITÀ.
Il raggiungimento della conformità alla normativa passa per una corretta gestione dei rischi connessi al trattamento dei dati personali, che devono essere inseriti nella più ampia mappatura dei rischi aziendali.
I rischi “privacy” devono essere conosciuti, valutati e controllati, e le scelte sulla loro gestione devono tenere presenti, oltre agli imprescindibili obblighi di legge, le priorità e gli obiettivi dell’organizzazione.
I rischi non sono statici, mutano nel tempo e variano in funzione di fattori, interni ed esterni, che possono essere legati a variazioni normative, di contesto o di processo.
È perciò assolutamente necessario considerare la gestione del rischio come un tema in costante “divenire” che deve essere presidiato con attenzione.
LA VALUTAZIONE DELLO STATO ATTUALE
Per valutare in modo adeguato i rischi “privacy” dell’organizzazione è fondamentale avere una chiara rappresentazione dei suoi processi, della tipologia di dati personali gestiti, delle operazioni di trattamento effettuate, del flusso dei dati e delle responsabilità assegnate alle diverse funzioni.
Il tempo richiesto da questa fase preliminare di analisi è strettamente legato alle dimensioni dell’organizzazione e al settore di mercato in cui essa opera; può richiedere giorni o settimane e deve riguardare l’intera struttura.
L’analisi tiene in considerazione l’esistenza di attività di trattamento di dati personali affidate a ditte esterne e prende in considerazione anche i trattamenti “interni”, cioè quelli che riguardano i dipendenti o i collaboratori.
L’attività può essere svolta internamente o con il supporto di professionisti appositamente ingaggiati.
La valutazione del rischio parte dall’analisi dello stato attuale e dalla fotografia dell’esistente, che permetterà di identificare le azioni da compiere per il raggiungimento della conformità normativa.
DALLO STATO ATTUALE ALLO STATO VOLUTO.
L’analisi degli scostamenti tra la stato attuale e lo stato desiderato permette di individuare gli interventi necessari per il raggiungimento della conformità normativa.
Aziende di dimensioni analoghe che operano nello stesso settore di mercato possono avere situazioni molto diverse in funzione della loro storia e dell’organizzazione dei processi interni.
Dopo aver individuato le attività da svolgere è necessario assegnare loro delle priorità.
L’assegnazione delle priorità è sicuramente condizionata dalle scadenze di legge, come anche dagli obiettivi di business dell’azienda ma deve tenere nel massimo conto i risultati della valutazione di rischio.
I rischi con indice di probabilità e danno più elevati devono essere affrontati per primi, perché sono quelli che possono avere l’impatto più grande sulla vita dell’organizzazione.
È bene stabilire un piano di azione con date certe, assegnando chiaramente ruoli e responsabilità di realizzazione per la conclusione delle attività.
Il risultato di un piano ben eseguito (sono richiesti revisioni e aggiornamenti periodici ed è necessario attribuire la responsabilità della conduzione del piano in modo chiaro) è la riduzione del rischio e l’avvicinamento progressivo allo stato desiderato di conformità.