Skip to main content

Analisi dei rischi nel GDPR

ANALISI DEI RISCHI IN AMBITO GDPR

Da oggi puoi avvalerti del supporto di un avvocato per elaborare l’analisi dei rischi nel GDPR. Effettuare un’attenta analisi significa non soltanto metterti a norma ed evitare le sanzioni previste dal GDPR ma anche valorizzare il tuo patrimonio informativo ed i dati dei tuoi clienti.

Perchè richiedere il supporto di un avvocato per l’analisi dei rischi nel GDPR?

L’adeguamento al GDPR e nello specifico l’analisi dei rischi consiste in un lavoro di squadra, da un lato la parte legale dall’altro la consulenza tecnico-informatica. Soltanto un lavoro sinergico tra queste due diverse funzioni può portare a dei risultati.

Cosa si intende per rischio?

Un “rischio” è uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità.

Cosa si intende per analisi dei rischi?

La “analisi dei rischi” può essere definita come l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi.

Come predisporre l’analisi dei rischi?

Si possono seguire diverse metodologie. Comunque, una analisi dei rischi dovrà:

  • Definire l’ambito del trattamento ed effettuare una mappatura dei dati personali trattati;
  • Circoscrivere i compiti e le responsabilità interne al personale dell’azienda.
  • Mappare le risorse informatiche utilizzate per la raccolta e conservazione dei dati.
  • Valutare le minacce alla sicurezza informatica ed il rischio di distruzione, modifica e divulgazione non autorizzata dei dati.
  • Valutare se il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate sulle libertà e i diritti degli interessati, e se del caso condurre la valutazione d’impatto per poter così adottare le misure necessarie ad affrontarlo.


In cosa consiste la valutazione d’impatto?

Una valutazione d’impatto sulla protezione dei dati è un processo teso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli” (Gruppo di lavoro Art. 29). La valutazione d’impatto si concentra quindi sulle operazioni di trattamento e l’impatto sui diritti e le libertà dell’interessato. Per determinare se uno o più trattamenti comportino rischi elevati per i diritti e le libertà degli interessati, è necessario preliminarmente di analizzare il rischio. Tuttavia, è altresì possibile che un’analisi dei rischi porti alla conclusione che il rischio privacy sia trascurabile, che l’impatto del trattamento non presenti rischi elevati per i diritti e le libertà degli interessati e che non sia quindi necessario condurre una valutazione d’impatto sugli interessati. “Il semplice fatto che le condizioni che comportano l’obbligo di realizzare una valutazione d’impatto sulla protezione dei dati non siano soddisfatte non diminuisce tuttavia l’obbligo generale, cui i titolari del trattamento sono soggetti, di attuare misure volte a gestire adeguatamente i rischi per i diritti e le libertà degli interessati” (Gruppo di lavoro Art. 29).
Quindi i rischi per i diritti e le libertà dell’interessato devono essere gestiti ed affrontati, a prescindere dal fatto che siano elevati o trascurabili. Per sapere se le misure di gestione del rischio siano adeguate o meno, non puoi prescindere da un’attenta analisi dei rischi. A margine dell’analisi dei rischi, si potrà stabilire se una tipologia di trattamento “possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche” e sia quindi obbligatorio procedere con una valutazione d’impatto o se invece il rischio è basso. Nel caso ci sia un rischio elevato per gli interessati, si procederà con la valutazione d’impatto per valutare il rispetto dei principi del trattamento (incluso quelli di necessità, proporzionalità) e determinare quali misure adottare per affrontare e ridurre i rischi e le minacce che presentano un elevato impatto per i diritti e le libertà degli individui.
Per maggiori informazioni si invitano gli utenti a consultare il sito del Garante per la privacy, raggiungibile a questo link.

Quali sono le sanzioni previste dal GDPR?

L’art. 32 del GDPR recita: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
La mancata adozione di misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato può comportare l’applicazione di sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

 

Contatta lo studio

Richiedi una consulenza