Analisi del rischio per il GDPR: come semplificarla

12 Febbraio 2020 in GRC360

DPO as a Service

L’analisi del rischio in ottica GDPR si traduce sostanzialmente nella valutazione dell’impatto e della probabilità del verificarsi di possibili minacce per i diversi trattamenti dei dati personali da parte dell’azienda.
L’attenzione va focalizzata soprattutto sulle categorie particolari di dati, unitamente ai dati relativi alle condanne penali e reati(art. 9 e 10) e il modo in cui si usano, come, per esempio i trattamenti su larga scala e di profilazione e le relative misure di sicurezza, in caso di utilizzo nel trattamento di nuove tecnologie (Big Data, IoT, IA ecc.).

Un’analisi del rischio preliminare

L’analisi del rischio nel trattamento dei dati personali può essere semplificata, esaminando, in modo preliminare, tutti i trattamenti per verificare se e per quali di essi sia necessario effettuare il Data Protection Impact Assessment (DPIA), previsto dall’articolo 35 del GDPR, obbligatorio quando il trattamento di dati personali “presenti un rischio elevato per i diritti e le libertà delle persone fisiche”.
Per agevolare l’analisi del rischio vale la pena far leva sul registro dei trattamenti, che è obbligatorio nei casi previsti dalla legge (art. 30 del regolamento), ma in ogni caso, è uno strumento utilissimo per governare il processo aziendale relativo alla protezione dei dati personali. La tenuta del registro dei trattamenti è infatti indice di una corretta gestione dei trattamenti e costituisce un importante elemento di accountability.

Come procedere per l’analisi del rischio

È dunque consigliabile innanzi tutto effettuare una valutazione generale dei rischi per tutti i trattamenti, se il rischio per i diritti e le libertà degli interessati, risulterà elevato va effettuato il DPIA. Qualora il rischio rimanesse alto nonostante le ulteriori misure di sicurezza andrà consultata l’Autorità di controllo (articolo 36 del Regolamento).
Questa valutazione preliminare di analisi del rischio dovrebbe portare alla stesura di un documento sui risultati dell’analisi, utile anche per definire successivamente le misure per ridurli, ove necessario e differenziare i diversi trattamenti in base al rischio.
Per ogni trattamento va individuato il rischio sulla base dell’impatto sugli interessati, nel caso si dovesse realizzare la minaccia, e della probabilità del verificarsi della minaccia stessa. Il valore del rischio andrà ricalcolato dopo avere messo in atto le misure di sicurezza utili a ridurlo.

I passi per l’analisi del rischio

L’analisi del rischio può essere affidata dal titolare del trattamento, nella sua esecuzione materiale, a esperti interni o esterni con competenze di tipo legale e di sicurezza informatica, eventualmente coinvolgendo il DPO (data protection officer).

In ogni caso il processo di analisi del rischio dovrà seguire i seguenti step:

  • Andranno identificati, con riferimento ai processi aziendali e al registro dei trattamenti, i dati personali trattati;
  • Andranno identificati gli ambiti applicativi e tecnologici a supporto dei servizi e dei processi;
  • Andranno valutati, per ogni ambito applicativo, gli impatti (alto, medio o basso) derivanti da una perdita o da una riduzione della riservatezza, dell’integrità e della disponibilità dei dati;
  • Andrà stimata la probabilità futura del realizzarsi delle singole minacce (alta, media o bassa) in accordo con i referenti IT, anche sulla base delle minacce a cui le applicazioni ed il sistema informativo sono esposti;
  • Va infine calcolato il rischio, per ogni trattamento, come prodotto tra i risultati di impatto e probabilità di accadimento; il rischio effettivo dovrà essere calcolato tenendo conto delle misure di sicurezza nel frattempo messe in atto per ridurlo.

L’analisi dei rischio non riguarda solo il GDPR

Dal momento che gran parte di queste attività preliminari sono comuni anche alla valutazione del rischio aziendale (per danni reputazionali, legali oltre il GDPR, di perdita operativa, economici…) può essere consigliabile valutare una convergenza nell’elaborazione dell’analisi del rischio. In particolare, l’analisi della componente probabilistica può essere unica e basarsi su un’analisi dell’efficacia dei presidi di sicurezza IT in relazione alla protezione degli asset critici.

Alessio Pennasilico – Information & Cyber Security Advisor, Partners4Innovation

P4I - White Paper - privacy by design
Share