Individuazione e gestione del rischio: guida del Garante

Il 25 maggio2018 entrerà in vigore il nuovo regolamento europeo in materia di protezione dei dati personali (GDPR). Il Garante ha pubblicato sul proprio sito una guida, qui allegata, sull’individuazione e la gestione del rischio, definendo il rischio come “uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità per i diritti e le libertà». In generale, occorre premettere che il rischio non si riferisce al titolare ma al soggetto interessato.
Come chiarito nel documento, la valutazione del rischio deve riguardare non solo la sicurezza del trattamento ma anche gli effetti complessivi del trattamento. In particolare, gli elementi da considerare nella individuazione del rischio sono:

• Origine
• Natura
• Gravità
• Probabilità
• Impatto sui diritti e le libertà degli interessati.

Le slides contengono anche indicazioni sugli aspetti riguardanti la sicurezza del trattamento, qui riportati.

Per quanto riguarda le misure per la gestione del rischio-accountability, il Garante ricorda le seguenti:

• Qualità dei dati
• Cifratura
• Conservazione adeguata
• Anonimizzazione dei dati
• Minimizzazione
• Misure tecnologiche: policy di sicurezza logiche e fisiche, aggiornamenti servizi e software, test, controllo accessi e tracciamento operazioni
• Misure organizzative: ruoli, governance, istruzioni, formazione, procedure, audit, strumenti di controllo per gli interessati, contatti