Posts

GDPR: La gestione del rischio associato al trattamento dei dati personali

Il rischio è un evento incerto o un insieme di eventi che, se si verificassero, potrebbero avere un effetto sul raggiungimento degli obiettivi aziendali; è perciò opportuno stimarlo e, successivamente, sviluppare strategie per governarlo.

L’attività di risk management relativa alla protezione dei dati personali è solo una declinazione della gestione del rischio aziendale e della sua governance; i rischi individuati dovranno quindi essere opportunamente valutati e successivamente inseriti, alla pari degli altri, all’interno della mappa dei rischi aziendali.

Nel caso specifico, poiché stiamo trattando il tema dei rischi associati alla protezione dei dati personali, i beni da proteggere – o asset primari – sono per l’appunto i dati personali e i processi impiegati per il loro trattamento.

Una corretta valutazione dei rischi non può prescindere dall’analisi dello specifico contesto in cui opera l’organizzazione.

Questo passo preliminare dev’essere compiuto anche per la valutazione dei rischi connessi al trattamento dei dati personali, perché è indispensabile avere una chiara rappresentazione degli asset a supporto del trattamento dei dati personali.  Ci riferiamo, per esempio, ad architetture hardware, piattaforme, software, reti ICT, ma anche a persone, documenti cartacei e modalità di distribuzione, conservazione e distruzione di questi ultimi.

Gli eventi incerti da cui è necessario proteggersi al fine di garantire l’integrità, la disponibilità e la riservatezza dei dati personali trattati possono essere legati a:

  • indisponibilità dei processi, ovvero i processi non esistono più o non funzionano più;
  • accesso illegittimo ai dati personali da parte di persone non autorizzate;
  • alterazioni o modifiche accidentali dei dati personali;
  • indisponibilità dei dati personali;
  • trattamento difforme da quello inizialmente previsto (deviazione dalla finalità definita, eccessiva o scorretta raccolta dei dati …).

Si procede quindi con l’identificazione dei rischi, che è possibile suddividere secondo le seguenti categorie:

  • rischi legati al comportamento delle persone;
  • rischi relativi agli strumenti di lavoro;
  • rischi relativi al contesto in cui si opera.

A ciascun rischio identificato sarà successivamente assegnato il valore relativo di probabilità e impatto per determinarne il peso e compilare la matrice probabilità-impatto.

Per maggiori informazioni sulla gestione del rischio inerente il trattamento dei dati personali e sul GDPR 2016/679 in generale si rimanda al libro “Conoscere e implementare la privacy”.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/