Uno dei principali compiti posti a carico del titolare del trattamento dal GDPR è quello di vagliare i rischi sottesi alle attività di trattamento dei dati personali: il risk-based approach si pone, quindi, come prerequisito per l’individuazione delle misure tecniche e organizzative adeguate richieste dall’art. 24 per dimostrare il corretto trattamento dei dati personali da parte delle aziende.
L’approccio mentale orientato al c.d. risk based thinking è sempre più indispensabile: basti pensare allo standard ISO 9001:2015, che prescrive l’analisi dei rischi in capo ad ogni processo organizzativo, in relazione al contesto ed alle esigenze di volta in volta interessate.
Ciò significa che le aziende devono essere in grado di valutare costantemente, per ciascun processo produttivo ed organizzativo, i rischi provenienti dalle fonti interne ed esterne.
In materia di data protection, il Garante italiano, trattando il tema del documento programmatico di sicurezza (abolito nel 2012), aveva individuato le seguenti principali aree di rischio:
- comportamenti degli operatori: rischi di furto di credenziali di autenticazione, carenza di consapevolezza negli operatori, disattenzione, comportamenti sleali e/o fraudolenti, errore materiale;
- eventi relativi agli strumenti informatici: virus, malware o altro software malevolo; spam o altre tecniche di cyber sabotaggio, malfunzionamento delle macchine, indisponibilità o degrado degli strumenti, accessi telematici non autorizzati, intercettazione di informazioni in rete;
- eventi relativi allo spazio fisico: accessi non autorizzati a locali o reparti ad accesso ristretto, asportazione o furto di strumenti contenenti dati personali;
- eventi distruttivi: naturali, artificiali, dolosi, accidentali, dovuti ad incuria, guasto ai sistemi di sostegno (elettrico, climatizzazione), errori umani in fase di sicurezza.
Tale classificazione torna ad essere di grande attualità ed utilità, nell’era del GDPR, soprattutto per quelle aziende che saranno chiamate, nei prossimi mesi, a svolgere la valutazione d’impatto sulla protezione dei dati (DPIA) prevista dall’art. 35 del Regolamento UE 2016/679.
In ogni caso, nella valutazione delle più adeguate misure tecniche ed organizzative da adottare, tutte le imprese dovranno tener conto dei:
- rischi strategici;
- rischi operativi;
- rischi per la continuità del business;
- rischi di mancata compliance alle norme del GDPR, che coinvolgono direttamente l’organizzazione aziendale e che comportano rischi di sanzioni, perdite finanziarie, danni di reputazione, perdita di certificazioni, etc.;
- rischi privacy strettamente intesi, cioè relativi, in primo luogo, all’interessato.
Il rischio privacy si può, in particolare, concretizzare in ipotesi di:
- distruzione e/o perdita, anche accidentale, dei dati;
- accesso non autorizzato di terzi ai sistemi informatici;
- modifica dei dati personali a seguito di interventi non autorizzati o non conformi alle regole;
- indisponibilità dei dati personali per un periodo significativo;
- trattamento dei dati personali non conforme alle finalità indicate nell’informativa rilasciata all’interessato.
Alla luce della complessità e varietà dei “rischi privacy” cui è potenzialmente esposta un’azienda nello svolgimento della propria tipica attività di impresa, sarà necessario svolgere un accurato e costante monitoraggio di tutti i processi più esposti al predetto rischio.
Il costante monitoraggio di tutte le funzioni, anche attraverso appositi audit, consente al titolare del trattamento di implementare costantemente le misure adeguate alla protezione dei dati personali, ottenendo il duplice risultato i) di effettuare un trattamento dei dati conforme alle regole sancite dal GDPR; ii) di essere in grado di dimostrare, anche documentalmente di aver posto in essere idonee procedure di ispezione e di controllo, in ossequio al principio di accountability.