L'analisi del rischio e il principio di accountability: perché nel GDPR sono così importanti? Come si effettua un'analisi del rischio? A che scopo?

Perché l'analisi del rischio è importante per i trattamenti dati

L'analisi del rischio è un elemento fondamentale per la protezione dei dati personali. In un mondo sempre più digitale, le informazioni personali vengono utilizzate e gestite in modo sempre più frequente, e ciò comporta una serie di rischi per i titolari dei dati personali. Non solo: l'analisi del rischio è un aspetto fondamentale anche della responsabilizzazione. E' la cosiddetta "accountability", principio previsto dal GDPR per il quale il titolare del trattamento deve fare tutto il possibile per assicurare la protezione dei dati e dei diritti degli interessati.

Il GDPR infatti ritiene responsabile della sicurezza dei dati il titolare del trattamento, imponendogli di mettere in atto sia misure tecniche che organizzative adeguate a: 

• mettere in sicurezza i dati;
• garantire la conformità al GDPR dei trattamenti messi in atto;
• consentire l'esercizio dei diritti degli interessati.

Un'analisi del rischio adeguata consente alle organizzazioni di identificare le vulnerabilità e le minacce ai dati personali e di adottare misure per prevenire o ridurre gli effetti di eventuali violazioni. In questo modo, l'organizzazione può evitare sanzioni e proteggere la propria reputazione e quella dei propri clienti o utenti.

Per saperne di più > Il principio di Accountability nel GDPR e i documenti utili

Definire una metodologia di analisi

Per cominciare: l'analisi del rischio è, nei fatti, una valutazione complessiva dei rischi conseguenti alla messa in atto di attività di trattamento dei dati personali. La risultanza di tali verifiche è la base sulla quale definire un piano di adeguamento al GDPR, valutando sia le misure tecniche che quelle organizzative necessarie. Va detto che le misure tecniche e organizzative messe in atto devono garantire un livello di protezione dei dati adeguato agli standard previsti da GDPR. Dall'altra parte però, è specificato, che l'adozione di tali misure va bilanciato con lo stato dell'arte e con i costi di implementazione e mantenimento.

Qui si concludono le indicazioni. Il GDPR infatti non prevede, e sarebbe impossibile e limitante, una lista specifica di misure da adottare. Si limita a presentare un elenco il cui valore è meramente esemplificativo. Tra queste misure sono citate la pseudonimizzazione e criptazione dei dati, le misure necessarie al ripristino tempestivo della disponibilità dei dati (backup ecc…), le procedure di test, verifica a evalutazione dell'efficacia delle misure adottate ecc…

Per definire una metodologia di analisi del rischio, l'organizzazione deve seguire una serie di passi: 

• identificare i dati personali che l'organizzazione gestisce;
• identificare i rischi associati alla gestione di tali dati personali;
• valutare la gravità dei rischi identificati;
• identificare le misure necessarie per mitigare o eliminare i rischi. 

Merita citare qui l'articolo 32 del GDPR - "Sicurezza del trattamento"

 "nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati".

Dalla lettura complessiva di queste previsioni, deriva chel'analisi del rischio dovrebbe essere un processo continuativo. I rischi possono cambiare nel tempo, nel tempo cambiano i trattamenti, le tecnologie e lo stato dell'arte. Pertanto, è importante che l'azienda aggiorni regolarmente la propria metodologia di analisi del rischio per assicurarsi di avere sempre una valutazione aggiornata dei rischi.

Come svolgere l'analisi del rischio secondo le previsioni del GDPR

Fatto il contesto, entriamo nel merito. Come svolgere la valutazione del rischio? Il GDPR prevede che l'analisi del rischio debba essere svolta tenendo conto dei seguenti fattori: 

• la natura, la portata, il contesto e le finalità del trattamento dei dati personali;
• il rischio di violazione dei dati personali;
• la gravità del rischio per i diritti e le libertà delle persone fisiche;
• la probabilità di occorrenza del rischio.

Per ogni contesto vanno previste le misure di minimizzazione del rischio. Ad esempio: 

• pseudonimizzazione e criptazione dei dati personali;
• misure volte alla tutela della riservatezza dei dati, della loro integrità, della loro disponibilità;
• strumenti e politiche di rispistino tempestivo della disponibilità dei dati;
• procedure per verifica, test e valutazione a cadenza regolare dell'efficacia delle misure messe in atto al fine di garantire un trattamento dati sicuro.

Non mi spingo oltre, nei consigli e nelle prescrizioni. D'altronde non è possibile pensare che possa esistere un protocollo dettagliato, i 10 comandamenti della valutazione e della minimizzazione del rischio. I rischi ai quali i trattamenti espongono i dati sono molteplici e variano molto da organizzazione a organizzazione, per le finalità, per il tipo di dati trattatti ecc… Il miglior consiglio che posso dare è che il parere di un esperto capace di effettuare in concreto, sulla realtà aziendale, tale analisi non è sostituibile.