Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Gestione del rischio e GDPR, il ruolo del dato personale

Come si configurano i concetti di rischio, pericolo e danno alla luce del regolamento europeo sul trattamento dei dati personali

17 Feb 2020

Samuel De Fazio

Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

Quando parliamo di protezione dei dati, sempre più spesso oggi ci troviamo ad affrontare l’argomento della valutazione d’impatto ex art. 35 e, se ci si spinge oltre, si arriva a trattare di valutazione dei rischi. Il concetto, tuttavia, non è nuovo e dovrebbe essere ormai cementato nelle buone prassi almeno dal 2003.

Ricordiamo il fu art. 15 del Dlgs 196/2003, rubricato “Danni cagionati per effetto del trattamento”, che recitava: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2.050 del Codice Civile”, il quale, quest’ultimo, rubricato “Responsabilità per l’esercizio di attività pericolose”, dispone che “Chiunque cagiona danno ad altri nello svolgimento di una attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”, concetto attualmente ripreso in modo praticamente pedissequo anche dalla normativa sulla responsabilità amministrativa degli enti e dallo stesso GDPR, con l’art. 82.

Il combinato disposto dei citati articoli, quindi, lascia dedurre in modo logico che, per presunzione di legge, il trattamento di dati personali sia un’attività pericolosa, ossia abbia la caratteristica di avere la potenzialità di generare un danno. Con il GDPR, questo danno viene generalmente indicato come la lesione di un diritto o di una libertà di una persona fisica.

Cosa si intende per pericolo, danno e rischio

Occorre, a questo punto, soffermarci e riflettere sul significato delle parole “pericolo”, “danno” e “rischio”. Senza voler imbastire una lezione di risk management, in modo estremamente sintetico possiamo affermare che:

– il pericolo è la qualità intrinseca di qualcosa di creare un danno a qualcos’altro;

– il danno è la diminuzione dello stato di integrità di qualcosa;

– il rischio è la probabilità che si verifichi qualcosa di dannoso, generando un determinato danno su qualcosa.

Il nostro “qualcosa” è, senza dubbio, identificato con il complesso dei diritti e delle libertà delle persone fisiche, non necessariamente degli interessati ai sensi del GDPR, il pericolo, come detto, è rappresentato dalla mera attività di trattamento dei dati, mentre il danno è certamente la diminuzione della possibilità di godere appieno di diritti e libertà.

Dove si collocano, quindi, i dati personali?

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Essi sono chiaramente l’oggetto del trattamento, ma, adottando un approccio per processi, ci si accorge facilmente che sono ciò con cui si effettua il trattamento, in quanto costituiscono la “materia prima” da utilizzare attraverso una o più operazioni per modificare lo status quo.

Il dato personale, quindi, non è altro che un elemento strumentalmente funzionale al raggiungimento di uno scopo determinato e voluto, ossia le “finalità” che ogni titolare dovrebbe definire a priori e comunicare agli eventuali responsabili e a tutti gli interessati. E questa visione del dato personale è ormai largamente confermata dal semplice fatto che esso è considerato un bene mobile negoziabile e su cui fare speculazione, esattamente come qualsiasi altro elemento patrimoniale di un qualsiasi titolare del trattamento.

La domanda da porsi, oggi, prima di iniziare qualsiasi trattamento, mentre si cerca di applicare il principio di privacy by design, dovrebbe essere la seguente: “Posto che voglio raggiungere questa finalità, se organizzo il trattamento con queste caratteristiche, applicandolo a questi dati personali, quanto è probabile che leda i diritti e le libertà di qualcuno?”

A cui dovrebbe seguire: “Posto che il trattamento che voglio effettuare, applicato a quei dati personali, è in grado di creare una lesione dei diritti e delle libertà di qualcuno, come valuto questo danno?”.

E qui occorrerebbe fare particolare attenzione non tanto agli aspetti qualitativi dei dati, ma a quelli sia quantitativi e qualitativi degli interessati.

Cosa si protegge con i dati personali

È chiaro, ora, che, se si approccia la materia in questo modo, appaiono sotto una luce diversa anche i precetti di cui all’art. 5 del GDPR: uno strumento non può essere inadeguato, inesatto, non aggiornato, non coerente o eccessivo per gli scopi a cui si tende. Uno strumento deve essere “sicuro” e per questo motivo, deve essere protetto.

L’errore da non compiere è pensare che la protezione dei dati personali si limiti a proteggere i dati personali: la protezione dei dati personali, invece, protegge diritti e libertà della persona in quanto tale e, conseguentemente, diritti e libertà della società in cui essa vive ed esprime la sua personalità.

È storia recente la notizia della pubblicazione, da parte di ENISA (Agenzia dell’Unione Europea per la cibersicurezza), di un tool con cui effettuare la valutazione dei rischi in ambito informatico che può giocare un ruolo di rilievo nel contesto della corretta gestione della protezione dei dati personali. Più datato, invece, il software PIA, edito dalla CNIL in collaborazione con alte autorità di controllo, tra cui quella italiana, per assistere i titolari e i responsabili nella conduzione delle valutazioni d’impatto sulla protezione dei dati.

D
Samuel De Fazio
Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

Articolo 1 di 5