Come gestire il risk assessment nell’emergenza

In presenza di una situazione emergenziale, la valutazione di impatto precedentemente effettuata ai sensi dell’art. 35 del GDPR dovrà essere oggetto di aggiornamento, considerando e/o rivalutando i rischi precedentemente mappati e gli eventuali nuovi rischi connessi all’evento verificatosi

06 Apr 2020

Elena Cannone

senior associate, compliance, focus team leader De Luca & Partners

Uno dei capisaldi su cui si fonda il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (cd GDPR) è il principio della accountability. Nello specifico l’art. 24 del GDPR prevede che il Titolare del trattamento – “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” – metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR stesso. Misure queste che devono essere riesaminate e aggiornate, qualora necessario.

Al fine di rispettare il principio dell’accountability è, pertanto, indispensabile procedere con l’individuazione e la gestione del rischio relativo al trattamento, così da valutare l’attuazione di politiche interne adeguate e l’adozione di misure che soddisfino, in particolare, i principi della protezione dei dati fin dalla progettazione (by design) e della protezione dei dati di default (by default).

La valutazione di impatto ex art. 35 GDPR

Il titolare del trattamento, allorquando i rischi presentino una elevata percentuale di pregiudizio per i diritti e le libertà delle persone fisiche, proprio in virtù del principio dell’accountability sopra citato, è tenuto a effettuare una preventiva “valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali” (cd valutazione di impatto o DPIA).

La valutazione di impatto deve contenere, secondo l’art. 35 del GDPR), almeno:

a) una descrizione sistematica dei trattamenti previsti e delle relative finalità;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi e delle libertà degli interessati;

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR medesimo, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

In considerazione di quanto sopra, il titolare del trattamento, per procedere a una corretta valutazione di impatto, deve condurre una attenta analisi di rischi (Risk assessment). Detta analisi consiste in una metodologia caratterizzata dalle seguenti fasi:

1: identificazione del rischio inerente. Essa consiste nell’attività di individuazione del rischio attuale e potenziale che si concretizza nella raccolta di tutte le informazioni e dei dati necessari ad individuare il rischio in esame;

2: analisi della vulnerabilità. Nello specifico viene analizzata l’adeguatezza dell’assetto organizzativo e dei presidi di prevenzione e monitoraggio rispetto ai rischi identificati;

3: determinazione del rischio residuo. Questa fase consiste nella valutazione del livello di probabilità di accadimento del rischio individuato nonché della gravità degli effetti che si produrrebbero nel caso in cui l’evento si verificasse;

4: azioni di rimedio. In particolare, si procede con l’individuazione, la definizione e l’attuazione delle misure adeguate ad eliminare o ridurre il livello di rischio emerso.

La combinazione dei giudizi di rischio inerente e di vulnerabilità determina, in base a una matrice dei rischi predeterminata, l’attribuzione della fascia di rischio residuo secondo una scala di valori prefissati (di norma 4: significativo, medio alto, medio basso, basso).

Terminata l’analisi del rischio, di fondamentale importanza è prevedere un piano di verifica e controllo costanti aventi l’obiettivo di monitorare il rispetto delle misure adottate e la validità nel tempo delle stesse, individuando le procedure da seguire in caso di variazione dei rischi precedentemente mappati nonché i soggetti adibiti a svolgere tale monitoraggio (Risk management). È opportuno che i risultati dell’analisi dei rischio svolta vengano portati a conoscenza degli eventuali organi di controllo e successivamente approvati dal Consiglio di Amministrazione.

La valutazione di impatto nelle situazioni di emergenza

In presenza di una situazione di emergenza (come nel caso di una pandemia), una valutazione di impatto precedentemente effettuata ai sensi dell’art. 35 del GDPR, dovrà essere oggetto di aggiornamento, considerando e/o rivalutando i rischi precedentemente mappati e gli eventuali nuovi rischi (effettivi o potenziali) connessi all’evento verificatosi.

Inoltre, sarà necessario riesaminare le misure tecniche e organizzative precedentemente adottate così da verificare la loro idoneità a garantire la conformità del trattamento e la protezione dei dati personali dei soggetti interessati e, se necessario, apportarvi gli opportuni correttivi.

Qualora la situazione di emergenza comporti un rischio elevato a fronte del quale non sussistano misure per attenuarlo, il titolare dovrebbe valutare la necessità, prima di procedere con il trattamento, di consultare, ai sensi dell’art. 36 del GDPR, l’Autorità di controllo (alias il Garante per la protezione dei dati personali). L’Autorità adita sarà chiamata a fornire un parere scritto, entro un termine di otto settimane dal ricevimento della richiesta di consultazione.

Per completezza di esposizione, si precisa che nelle ipotesi di “nuovi trattamenti” di dati personali direttamente scaturenti dalla situazione emergenziale (come ad esempio la rilevazione della temperatura corporea), il titolare dovrà procedere all’aggiornamento e all’integrazione del registro delle attività di trattamento (articolo 30 del GDPR).

Da quanto sopra ne deriva che, anche in situazioni di emergenza, deve essere garantito il pieno presidio dei rischi potenziali e/o effettivi che possano rappresentare una minaccia per il corretto trattamento dei dati personali e, di conseguenza, dei diritti e delle libertà degli interessati. Ciò al fine di non incorrere nelle pesanti sanzioni previste dal G

WHITEPAPER
Covid-19: come rispettare le regole senza fermare lo sviluppo del mercato?
Sanità
Risk Management

@RIPRODUZIONE RISERVATA
C
Elena Cannone
senior associate, compliance, focus team leader De Luca & Partners

Articolo 1 di 5