LA GUIDA COMPLETA

GDPR, analisi dei rischi dal punto di vista del titolare del trattamento: come effettuarla

Il titolare del trattamento potrebbe valutare quali sono i rischi connessi al trattamento dei dati personali che possono avere impatto sulla propria azienda. Una valutazione non prevista dal GDPR, ma che può dare importanti indicazioni su quella che è l’esposizione, in termini economici, legata ai trattamenti dati

Pubblicato il 03 Set 2021

Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Analisi dei rischi del titolare del trattamento

Abbiamo parlato più volte del fatto che le analisi dei rischi richieste dal GDPR riguardano i diritti e le libertà delle persone fisiche. Si tratta, quindi, di analisi dei rischi diverse da quelle alle quali le aziende sono abituate, che mirano a tutelare l’azienda stessa, i suoi asset e i suoi processi[1].

Il trattamento dei dati personali e il mancato rispetto della normativa privacy comportano comunque anche dei rischi per il titolare del trattamento e quindi, parallelamente ad un’analisi dei rischi ai sensi del GDPR, è possibile effettuare, da parte di quest’ultimo, una analisi dei rischi avente come oggetto i rischi propri del titolare.

Infatti, nel caso di alterazione, indisponibilità e violazione dei dati personali anche il titolare del trattamento e i servizi da lui erogati potrebbero risentirne.

Gli impatti sono di varia natura, fra i quali:

  1. economici (costi di ripristino, mancato guadagno ecc.);
  2. legali (contenziosi con clienti per mancata erogazione dei servizi ecc.);
  3. reputazionali;
  4. sanzionatori (sia dal punto di vista della normativa privacy, ma anche di altre normative, ad esempio quelle in ambito bancario);
  5. risarcitori (nei confronti delle PERSONE FISICHE, o meglio di CHIUNQUE, abbia subito un danno in seguito alla violazione della normativa privacy).

Ci concentriamo in questo articolo sugli ultimi due tipi di rischio, quelli specifici legati alla normativa privacy, in quanto per gli altri esistono in letteratura numerosi esempi relativi alle modalità per la loro valorizzazione.

I rischi nell’analisi dei rischi: gli errori da evitare per rendere fruibile e ripetibile l’analisi effettuata

Analisi dei rischi del titolare: sanzionatori e risarcitori

La valutazione del rischio risarcitorio (e sanzionatorio), unitamente al valore dei generici rischi in precedenza elencati, dovrebbe dare evidenza delle perdite complessive verso le quali si espone il titolare del trattamento e conseguentemente di quanto budget potrebbe avere a disposizione per ridurre tale rischio mediante l’implementazione di adeguate misure di sicurezza (nel senso più ampio del termine).

Il rischio risarcitorio

Partiamo dal rischio legato al dover risarcire chiunque (“any person” nella versione originale del GDPR) abbia subito un danno, come prescritto dell’art. 82 del Regolamento UE:

Articolo 82

Diritto al risarcimento e responsabilità (C142, C146, C147)

1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Appare abbastanza ovvio che con il termine “chiunque” non si intendano i soli interessati, ma quantomeno tutte le persone fisiche che hanno subito un danno.

D’altra parte, il GDPR tutela proprio le persone fisiche (art. 1 del GDPR) e tutti gli articoli che parlano di analisi dei rischi o di violazione di dati personali si riferiscono a tali soggetti e non agli interessati.

Qualche dubbio potrebbe riguardare il fatto che il perimetro dei soggetti coinvolti sia più ampio, in conseguenza del fatto che il termine utilizzato nella normativa è “any person”, e non “any natural person”, termine quest’ultimo utilizzato nel GDPR per indicare i soggetti tutelati (si ricorda che il termine per indicare gli interessati è invece data subject).

Le analisi dei rischi nel GDPR: regole e metodologie realizzative

Quindi non è arduo ipotizzare che anche le persone non fisiche (ad esempio un’azienda) possano in qualche circostanza richiedere un risarcimento dei danni.

Proprio la presenza di una platea così ampia e, soprattutto indefinita, rende molto difficile effettuare una valutazione di quello che potrebbe essere il rischio risarcitorio.

Un possibile percorso potrebbe considerare fasce diverse di rischio in funzione del fatto che si trattino dati comuni o dati particolari, dati solo di adulti o anche dati di minori.

Si potrebbe ipotizzare una cifra media di risarcimento per ogni interessato in funzione della rischiosità dei singoli trattamenti (ad esempio ,1000 euro nel caso di trattamento di dati comuni e 100 mila euro nel caso di trattamento di dati sanitari).

Moltiplicando questo valore per il numero degli interessati si potrebbe individuare quale sia il rischio massimo a cui il Titolare esposto quantomeno relativamente a tali soggetti.

IL LIVELLO DI RISCHIO NEI TRATTAMENTI DATI

Un elemento di mitigazione in merito ai rischi legati al trattamento deriva dalla stessa normativa privacy, sempre che la medesima sia rispettata.

Non dovrebbero infatti esistere trattamenti con un rischio elevato e questo per un motivo molto semplice: sono vietati dallo stesso GDPR.

L’articolo 35, quello sulla DPIA per intenderci, recita infatti:

Articolo 35

Valutazione d’impatto sulla protezione dei dati (C84, C89-C93, C95)

Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

Inoltre qualora la valutazione cui conduce l’art. 35 evidenzi il permanere di un rischio elevato, l’art. 36 prescrive che il Titolare debba rivolgersi all’Autorità Garante:

Articolo 36

Consultazione preventiva (C94-C96)

1. Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

Nei casi più estremi, il titolare, qualora non sia in grado di mitigare il rischio, deve rinunciare al trattamento.

Ne consegue che il livello di rischio dei trattamenti posti in essere dal Titolare non può mai essere elevato e quindi il reale rischio di una violazione o di conseguenze particolarmente negative per le persone fisiche (o altri soggetti), almeno in teoria non dovrebbe sussistere.

Come si evince, la modalità di trattamento del rischio prevista dal GDPR è diversa da quella tradizionalmente applicata ai rischi aziendali e questo per un semplice motivo: non si tratta di un rischio del Titolare, ma di un rischio di altri soggetti, le persone fisiche.

Tale rischio quindi non può essere né accettato, né trasferito, ma solo ridotto il più possibile.

Attenzione quindi non solo nel non utilizzare metodologie errate per l’analisi del rischio, come più volte ricordato in precedenti articoli, ma anche al trattamento dello stesso rischio.

Di conseguenza attenzione a mutuare tecniche e metodologie provenienti da altri ambiti (sicurezza, 231…) ad una normativa complessa come quella privacy.

Ma se questa metodologia è applicabile agli interessati, dei quali conosco o dovrei conoscere il numero, la stessa logica non è applicabile alle persone fisiche, collegate in qualche modo agli interessati, perché non ne conosco e non ne posso conoscere a priori il numero.

Spesso tali soggetti possono essere individuati con i famigliari di un interessato; questo è il caso di un paziente affetto da una particolare malattia tale per cui la diffusione della informazione sulla sua diagnosi porterebbe a discriminazione nei confronti suoi e dei suoi famigliari.

O analogamente sono stati anche i famigliari degli interessati ad aver subito un danno nel più volte citato caso della violazione e successiva diffusione degli iscritti ad un sito di incontri fra persone sposate.

La diffusione dei dati degli iscritti ha avuto impatti come minimo sul coniuge e sui figli (con suicidi e divorzi…), anche se in realtà avrebbe potuto estendere il proprio impatto a molte altre situazioni, ad esempio se il soggetto che si fosse suicidato avesse avuto incarichi di rilievo in un’azienda o peggio fosse il detentore di un know how esclusivo.

Al riguardo non si pensi che tali ipotesi siano così remote perché in letteratura casi anche recenti sono facilmente reperibili.

È evidente che il numero complessivo di famigliari o di eventuali altri soggetti coinvolti non può essere noto al Titolare, che dovrebbe pertanto aggiungere ipotesi ad ipotesi.

Se ci basiamo sul concetto di stima potremmo ipotizzare che per ogni interessato ci possano essere altri due soggetti che hanno titolo di richiedere un risarcimento danni.

Quindi se avevamo ipotizzato 10 milioni di euro come valore di impatto per gli interessati moltiplichiamo per 3 tale valore per comprendere anche altri soggetti.

Ovviamente quanto fino a qui esposto si riferisce all’impatto, inteso come valore dell’importo risarcibile.

È evidente che nella valutazione del rischio è necessario considerare anche la probabilità che un determinato evento possa causare una richiesta di risarcimento.

Si può ragionevolmente ritenere (ma tale ipotesi non è da considerarsi assoluta), che la maggior parte dei risarcimenti possano derivare da una violazione di dati personali, motivo per cui è importante che un Titolare concentri le proprie risorse per rendere il meno probabile possibile una tale eventualità.

Non va però considerata solo questa casistica, perché potrebbero verificarsi situazioni nelle quali la richiesta di risarcimento sia legata ad altri fattori.

Si pensi ad esempio al fatto che un interessato scopra che i suoi dati siano trattati in modalità difforme rispetto a quanto espresso in una informativa, in particolar modo se per lo svolgimento di tale trattamento era stato richiesto il suo consenso.

È evidente che l’interessato potrebbe sentirsi oltraggiato da questo comportamento, ritendo altresì di aver subito un danno, quantomeno immateriale.

La casistica che può attivare l’art. 82 è quindi molto ampia.

Vi è inoltre da considerare un ulteriore aspetto nella valutazione di quanto sopra. Un eventuale resistenza del Titolare rispetto alla richiesta di risarcimento poterà quasi sicuramente i soggetti che lo richiedono a rivolgersi all’autorità Garante, che verrà pertanto informata della presunta violazione della normativa da parte del Titolare (con tutte le conseguenze del caso per quanto riguarda una possibile visita ispettive ed a seguire le relative sanzioni, come verrà trattato nel paragrafo successivo).

Sicurezza e GDPR, i soggetti tutelati: cosa valutare per effettuare un’analisi dei rischi compliant

Quali probabilità di incorrere in un risarcimento danni

Abbiamo per ora parlato di impatto, ma qual è la probabilità di incorrere in un risarcimento danni?

Purtroppo la stima è veramente difficile. Si potrebbe pensare che sia proporzionale al livello di conformità del Titolare, ma non è così.

La pura conformità influisce si aspetti quali ad esempio la reale corrispondenza fra quanto esposto nella informativa e quanto agito.

Tuttavia per quanto riguarda gli aspetti di sicurezza non è sufficiente essere semplicemente conformi; la normativa non richiede infatti la sicurezza assoluta e quindi resta sempre il rischio, ad esempio, che si verifichi una violazione di dati personali.

Le possibili casistiche sono infatti infinite; è pertanto utile analizzare documenti come quello prodotto dall’EPDB (Guidelines 01/2021 – on Examples regarding Data Breach Notification ), ma le casistiche sono veramente infinite e non prevedibili.

Il rischio sanzionatorio

La valutazione del rischio sanzionatorio è ancor più complessa di quanto evidenziato per il rischio risarcitorio.

Prima di procedere ad analizzare le componenti di probabilità ed impatto utili alla valutazione di tale rischio è opportuno riepilogare quelle che sono le tipologie di sanzioni previste dalla normativa privacy.

Le più evidenti riguardano:

  • le sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore
  • le sanzioni penali (regolate il Italia dal D.lgs. 196/03)[2].

Alle sanzioni propriamente dette vanno inoltre aggiunte le azioni che l’Autorità Garante ha il potere di imporre ai sensi dell’art. 58 del GDPR, quali ad esempio:

  • una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale

Spesso trascurate nella valutazione del rischio tali azioni possono in realtà avere conseguenze ben più significative anche di una sanzione pecuniaria elevata, potendo comportare la chiusura di un’attività (si pensi ad esempio al blocco del database dei contatti di un call center).

Il possibile impatto di un rischio sanzionatorio

Passiamo ora a valutare le componenti del rischio.

Per quanto riguarda l’impatto e quindi in particolare l’importo della sanzione, questo è legato:

  • al livello di non conformità del titolare;
  • alla molteplicità di elementi che devono essere considerati nella determinazione di una sanzione.

Per quanto attiene al primo aspetto, questo è determinabile solo con una verifica sufficientemente accurata della conformità dello stesso alla normativa.

Tale verifica non può limitarsi né un semplice controllo formale, né a considerare corretto, di default, il perimetro dei trattamenti e degli interessati individuati dal Titolare[3].

Per quanto attiene al secondo punto, per la determinazione della sanzione l’Autorità deve considerare quanto previsto dall’art. 83.2:

2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene

debito conto dei seguenti elementi:

a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b) il carattere doloso o colposo della violazione;

c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;

e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;

f ) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

g) le categorie di dati personali interessate dalla violazione;

h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;

j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

In considerazione del rilevante numero di parametri che possono essere considerati dall’Autorità è veramente molto arduo confrontare le sanzioni relative alla medesima violazione effettuata da diversi Titolari e quindi stabilire un valore medio da utilizzare in una stima del rischio.

A parità di condizioni ad esempio, il diverso livello di cooperazione messo in atto dal Titolare (art. 83.2.f) può influire sull’esito della sanzione.

Ma c’è un ulteriore elemento che rende difficile effettuare un confronto fra le sanzioni erogate per la violazione del medesimo articolo e riguarda l’assoluta genericità con cui sono espressi i criteri che determinano una violazione, come indicato nell’art. 82:

La sanzione fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

Come si nota, la normativa non entra nel merito del reale contenuto di una violazione, ma si limita a citare genericamente il numero dell’articolo/i violato/i.

Diverso era l’approccio del D.lgs 196/03, che quantomeno dava qualche indicazione di maggior dettaglio, lasciando meno margine di discrezionalità e meglio inquadrando le circostanze che portavano ad una sanzione, come evidenziano gli esempi sotto riportati:

Art. 163. Omessa o incompleta notificazione

1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.

oppure

Art. 167. Trattamento illecito di dati

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

È infatti chiaro, ad esempio, che una violazione di un articolo complesso ed impegnativo quale l’art. 5, nel quale sono elencati numerosi principi il cui rispetto comporta l’attivazione di un rilevantissimo numero di misure tecniche ed organizzative da parte del Titolare, possa avvenire con decine di modalità diverse:

Articolo 5

Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Ad esempio, la mancata definizione dei tempi di conservazione o il mancato aggiornamento dei dati.

Paragonare quindi le sanzioni che vengono irrorate limitandosi a considerare il numero dell’articolo a cui si riferiscono è molto fuorviante e l’uso di tali informazioni, per determinare un valore medio associato ad una violazione della normativa, è quindi decisamente errato.

Tale errore è inoltre ampliato nel caso in cui si utilizzino dati raccolti a livello internazionale; il comportamento delle varie Autorità Garanti non è uniforme così come non è uniforme nemmeno la normativa di riferimento.

Non va infatti dimenticato che i singoli Stati dell’Unione oltre al GDPR dispongono di proprie normative privacy che comportano specifiche sanzioni di natura amministrativa e penale.

Per capire l’orientamento e la filosofia delle singole Autorità non resta quindi che analizzare nel dettaglio i singoli provvedimenti; le scorciatoie sono molto rischiose.

Resta comunque il problema che le sanzioni evidenziate nei provvedimenti sono spesso accorpate riguardano più violazioni contemporaneamente, aumentando ulteriormente la possibilità di abbinare un importo ad una specifica violazione.

Altro aspetto da prendere in considerazione è il fatturato del Titolare; la sanzione massima applicabile non è infatti fissa, ma varia se il 4% del fatturato annuo mondiale superi i 20 milioni di euro. Non si deve pensare che tale situazione sia limitata a poche multinazionali. Nel mondo bancario l’equivalente del fatturato fa sì che molte banche italiane si trovino nella condizione di subire sanzioni di diverse decine o centinaia di milioni di euro.

Anche questa circostanza (influenzata ad esempio dal parametro k dell’art. 83.2) rende particolarmente difficile paragonare sanzioni che sono state irrorate a soggetti completamente diversi fra loro in quanto a dimensioni e settori di appartenenza (e quindi, ad esempio, esposte a una rischiosità dei trattamenti effettuati non uniforme).

La probabilità di subire una sanzione

Consideriamo ora la probabilità di subire una sanzione; questa è legata essenzialmente a due fattori:

  • il livello di conformità del titolare;
  • la possibilità di essere sottoposti ad una visita ispettiva.

Per quanto riguarda il primo punto vale quanto già esposto in precedenza.

Solo un assessment approfondito può dare una stima di massima del livello di conformità raggiunto (una reale valutazione della conformità è di fatto impossibile; nessuno può di fatto certificare la vostra conformità al GDPR).

Per quanto riguarda il secondo punto le visite ispettive avvengono o perché si fa parte della categoria di Titolari che periodicamente l’Autorità Garante individua nel suo piano di visite ispettive, o perché l’Autorità sospetta comportamenti non in linea con la normativa da parte di uno specifico titolare.

Al riguardo, quanto esposto in precedenza (ingaggio dell’Autorità da parte di un soggetto che richiede un risarcimento) o altre situazioni analoghe (segnalazioni…) può costituire un elemento che aumenta le probabilità di subire una visita ispettiva e pertanto mantenere una buona relazione con gli interessati e rispondere puntualmente alle loro richieste è fondamentale.

Quindi se non è possibile ipotizzare quali saranno le prossime categorie di Titolari oggetto di visita ispettiva (va considerato tuttavia che tali categorie comprendono in genere situazione che possono comportano un maggior rischio per i diritti e le libertà delle persone fisiche), una buona relazione con gli interessati è fondamentale (si parla in questo caso di interessati, in quanto le persone fisiche sono tutelate, ma non hanno dei diritti come quelli descritti dagli specifici articoli del GDPR. Nemmeno le persone giuridiche hanno dei diritti, anche se sono tutelate nell’ambito delle comunicazioni elettroniche della Direttiva e-privacy e quindi, in Italia, dal D.lgs. 196/03).

Analisi dei rischi e BIA per la continuità operativa: impianti normativi e soluzioni pratiche

Conclusioni

Come presentato nell’articolo la valutazione del rischio risarcitorio, basandosi su ipotesi azzardate, ma ragionevoli può produrre qualche indicazione interessante.

Qualche perplessità riguarda la possibilità di un’analoga valutazione del rischio sanzionatorio.

Al riguardo le variabili da considerare sono talmente elevate e le informazioni su cui basarsi (database delle sanzioni) poco strutturate che una stima di tali valori appare veramente molto aleatoria e veramente molto approssimativa.

Altro aspetto importante da considerare riguarda il fatto che le sanzioni irrorate fino ad oggi non costituiscono una base per la valutazione del rischio. I valori delle sanzioni, con tutti i limiti che sono stati evidenziati, costituiscono un elemento solo per la valutazione dell’impatto.

 

NOTE

  1. Si vedano al riguardo i seguenti articoli:

  2. Se un Titolare effettua trattamenti in più Stati dell’UE oltre al GDPR è soggetto alle specifiche leggi privacy e relative sanzioni penali e amministrative di ogni singolo Stato.

  3. Durante i numerosi master che ho tenuto è mia abitudine proporre agli allievi, tutti consulenti privacy e DPO, un semplice caso nel quale chiedo di identificare i soggetti tutelati dalla normativa privacy gestiti da un Titolare che svolge una banale attività B2B. Gli allievi di norma individuano solo il 50% di tali soggetti e quindi di fatto, anche se tale Titolare fosse pienamente conforme relativamente ai trattamenti che riguardano i soggetti individuati, sarebbe gravemente non conforme nei confronti di tutti gli altri soggetti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • DATA PROTECTION

    Il ruolo emergente del DPO nel sistema Whistleblowing: tra silenzio normativo e necessità

    20 Dic 2023

    di Giuseppe Alverone e Monica Perego

    Condividi

  • IL PUNTO

    GDPR, cinque anni tra bilanci e prospettive: con la lente dell’azienda

    25 Mag 2023

    di Chiara Ponti

    Condividi

Prossimo

Il ruolo emergente del DPO nel sistema Whistleblowing: tra silenzio normativo e necessità

Articolo 1 di 3