La guida

GDPR, l’approccio privacy basato sul rischio: come funziona e le misure da adottare

Il titolare del trattamento è portato a considerare rischiosa la gestione dei dati degli interessati, alla luce del GDPR: questa è la base per una maggiore consapevolezza sul Regolamento europeo, che prevede strumenti come la DPIA per valutare la situazione e dunque un approccio privacy basato sul rischio

04 Dic 2020
Z
Paola Zanellati

Consulente Privacy

L’approccio privacy basato sul rischio colma l’intera logica applicativa del GDPR e porta il titolare a dover considerare “rischioso” per l’interessato qualsiasi trattamento di dati personali al quale sia applicabile il Regolamento europeo.

Per tale ragione, la consapevolezza che chi tratta dati personali in qualità di titolare del trattamento espone l’interessato a potenziali rischi, è il punto di partenza per un corretto recepimento dei principi fondanti della normativa.

In questo contesto, la DPIA è uno strumento utile di cui servirsi per una corretta valutazione.

Il framework normativo di riferimento

Il GDPR, infatti, ha apportato significative modifiche alla disciplina sul trattamento dei dati personali, generando uno scalpore mediatico di notevoli proporzioni, forse, per merito (o colpa) degli importi delle sanzioni applicabili e a distanza di due anni si traggono le prime conclusioni.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

In ambito commerciale e aziendale, da un lato, l’effetto di generare la “corsa alla conformità” delle aziende italiane per evitare sanzioni da 10 o 20 milioni di euro, dall’altro, l’effetto di rendere più consapevoli imprenditori e aziende dell’esistenza di tale normativa, spesso trascurata.

Nonostante il giustificato timore suscitato dalle sanzioni, in realtà, l’approccio e la “filosofia” del GDPR – se letti in chiave positiva – non sono più stringenti di quanto non lo fosse la precedente normativa, anzi, si rileva una maggiore apertura in favore della libera circolazione dei dati personali all’interno dell’Unione Europea e una maggiore autonomia per i titolari del trattamento nell’adempimento degli obblighi.

A livello nazionale, soprattutto piccole e medie aziende fanno fatica a scorgere nell’adeguamento al GDPR un’opportunità di crescita e di investimento per le proprie aziende, percependolo invece come un gravoso adempimento obbligatorio, statico e formale.

Tra le barriere che impediscono ai titolari del trattamento di avere una visione “positiva”, va rilevata senz’altro l’elevata complessità della disciplina, dal punto di vista della terminologia, di contenuto e di applicabilità operativa.

Per tali ragioni, un titolare del trattamento che non ha mai curato l’aspetto data protection nell’ambito della propria attività, si trova necessariamente ad affrontare un costo notevole per adeguare la propria azienda/realtà ad una normativa che risulta praticamente impossibile applicare correttamente per i “non addetti ai lavori”.

In quest’ottica risulta fondamentale il ruolo degli operatori della materia, quali consulenti, DPO, società  di consulenza, data manager ecc., che assumono l’importante compito di “tradurre” il linguaggio del GDPR e trasmetterne i principi cardine ai titolari del trattamento, in modo tale da ingenerare in loro quella coscienza e sensibilità (oltre alla consapevolezza dei relativi obblighi) che sta alla base del principio di responsabilizzazione (cosiddetta “accountability”) sul quale è costruito l’intero impianto del GDPR.

L’approccio privacy basato sul rischio

Alcuni dei principi del GDPR, quali appunto l’accountability e la privacy by design e by default, non fanno altro che guidare i titolari del trattamento verso l’adozione di misure e cautele che consentono di trattare i dati personali limitando il più possibile i rischi per gli interessati.

L’approccio privacy basato sul rischio può tradursi come l’analisi preventiva del contesto del trattamento, del grado di probabilità e di gravità dei potenziali rischi ai quali è esposto l’interessato e la predisposizione di piani di azione volti a limitare il verificarsi degli eventi a rischio.

Si tratta di un processo di autovalutazione, all’esito del quale il titolare deve adottare le cautele e le misure tecnico organizzative che risultino (e che ritiene) più idonee a mitigare i rischi e proteggere gli interessati e i relativi dati personali.

Il principio di accountability, insieme all’approccio privacy basato sul rischio, determina il superamento del concetto di misure “minime di sicurezza” della precedente disciplina, colpevole di aver ingenerato nei titolari la percezione errata che la conformità alla normativa e la tutela dei dati personali potesse essere conseguita mediante adempimenti meramente formali, scollegati dall’applicazione pratica e quotidiana di trattamento.

Il Modello Organizzativo Privacy è un modello dinamico che segue passo passo l’attività aziendale.

La valutazione di impatto come obbligo e come best practice

Sulla base dei citati principi e dell’approccio basato sul rischio, il GDPR ha previsto un adempimento obbligatorio, la cosiddetta valutazione di impatto (Data Protection Impact Assessment, “DPIA”), finalizzato a tutelare i casi in cui i rischi ai quali si espone l’interessato siano particolarmente elevati e mettano in pericolo i diritti e le libertà delle persone fisiche.

Senza entrare nel merito degli aspetti interpretativi e applicativi della relativa norma (articolo 35 del GDPR), si rileva l’importanza della valutazione di impatto e i suoi benefici, per i titolari del trattamento, in termini di conformità e di adeguatezza nella gestione del rischio.

La valutazione d’impatto altro non è che una specifica valutazione sulla rischiosità del trattamento effettuata considerando tutti gli elementi dello stesso e avendo riguardo anche alle possibili misure per “limitare” il rischio ad esso associato.

Ecco perché la DPIA si pone come successivo adempimento rispetto ad una preventiva e generalizzata valutazione dei rischi connessi ai trattamenti che il titolare è tenuto ad effettuare ai sensi dei considerando 75, 76 e 77 del GDPR in termini di probabilità e gravità del rischio per i diritti e le libertà dell’interessato.

Queste ultime dovrebbero essere valutate tenendo in considerazione l’origine, l’ambito di applicazione, il contesto e le finalità̀ del trattamento.

Il rischio deve essere valutato attraverso considerazioni di carattere oggettivo e occorrerà individuare le migliori misure tecniche e organizzative per attenuarlo.

Il rischio elevato

A questo punto sorge spontanea la domanda: “Che cosa si intende per rischio elevato?”. Possiamo rispondere affermando, con le parole utilizzate nel parere del Gruppo di Lavoro Articolo 29, che con il termine rischio si intende “uno scenario descrittivo di un evento e delle relative conseguenze, stimate in termini di gravità e probabilità” per i diritti e le libertà.

Occorre precisare che il rischio non si riferisce al titolare del trattamento, bensì ai soggetti interessati, cioè le persone fisiche delle quali vengono trattati i dati personali; in secondo luogo, che non bisogna confondere la gestione dei rischi, cioè l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi”, con il tema delle misure di sicurezza.

È necessario quindi valutare non solo la sicurezza del trattamento, con riferimento alla disponibilità, all’integrità e alla riservatezza del dato, ma anche i suoi effetti complessivi, quali ad esempio i danni per la reputazione, discriminazione, furto d’identità, perdite finanziarie o altri svantaggi economico-sociali, perdita di controllo dei dati, impossibilità di esercitare diritti.

Consideriamo quali sono le misure per la gestione del rischio, ricordando che è compito del Titolare del trattamento prevedere quelle adeguate:

  • misure organizzative (ad esempio ruoli, governance, formazione, procedure, audit, strumenti a disposizione degli interessati, contatti);
  • misure tecnologiche (ad esempio policy di sicurezza logiche e fisiche, aggiornamenti dei servizi e software test, controllo degli accessi e tracciamento delle operazioni);
  • minimizzazione;
  • anonimizzazione;
  • cifratura;
  • conservazione adeguata (con riferimento sia ai supporti sia al periodo temporale).

La procedura di valutazione è scandita in fasi, sostanzialmente corrispondenti ai passaggi previsti dalla norma, e ha la funzione di orientare il titolare nell’analisi e nella valutazione di:

  • contesto dei trattamenti,
  • esposizione ai relativi rischi,
  • misure di sicurezza adottate,
  • mappatura globale dei rischi,
  • piani di azione predisposti per mitigare tali rischi.

Il processo di digitalizzazione consente certamente di alleggerire il compito del titolare nella valutazione d’impatto.

Ed infatti, ciascun trattamento può essere valutato con riferimento alla sua rischiosità e, attraverso tale processo potrà essergli assegnato un certo punteggio numerico, sintesi di una matrice nella quale sono valutati congiuntamente l’impatto negativo (o danno) che un determinato evento potrebbe determinare con la sua probabilità di accadimento.

Mettendo a fattore tali elementi numerici con quelli assegnati alle misure che potrebbero attenuare i fattori di rischio, riusciamo ad assegnare al trattamento un certo valore numerico che può determinarci, in maniera oggettiva, la sua rischiosità.

La valutazione d’impatto svolta attraverso uno strumento digitale consente, peraltro, non solo di avere ben chiaro il trattamento nella sua complessità, ma, anche di collegarlo ad altri trattamenti con cui potrebbe avere delle affinità; in tale maniera potrebbe porsi l’opportunità di svolgere una DPIA congiunta per più trattamenti affini.

Inoltre, un report DPIA svolto con strumenti informatici risulterà chiaro e di facile interpretabilità, frutto dell’utilizzo di indicatori oggettivi.

Da ultimo, occorre ricordare che l’utilizzo di strumenti informatici consente al titolare di aggiornare la valutazione d’impatto ogni qualvolta uno degli elementi del trattamento dovesse modificarsi.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr