Ogni attività comporta qualche rischio
Una delle più importanti novità del Gdpr rispetto al passato è stata l’introduzione di un approccio diverso rispetto al rischio che ogni attività di trattamento di dati personali comporta.
Mentre in passato, tutto sommato, adottando alcune misure di sicurezza predefinite (le cc.dd. misure minime) si poteva ritenere di essere “formalmente” a norma, oggi non è più così.
Alcune disposizioni del Regolamento europeo, infatti (l’art. 24, in particolare, ma anche il successivo 32) prevedono espressamente che si debba tenere conto, in ogni attività di trattamento, del rischio che tale trattamento comporta in relazione ai diritti (e alle libertà fondamentali) delle persone. E attivarsi per mettere in atto misure “adeguate” a tali rischi.
Già, perché “gestire” i dati dei dipendenti, dei clienti o dei prospect, ma anche dei fornitori, senza prendere in considerazione che esiste sempre il pericolo che si possano causare danni, è sintomo di poca consapevolezza.
Basta pensare che la distruzione, la perdita, la modifica o la divulgazione, per errore o comunque non autorizzata, di informazioni personali, potrebbero avere dirette conseguenze sulle persone e sui loro diritti, come danni alla reputazione, discriminazioni, furti di identità, danni finanziari oppure danni fisici.
Il fatto è che per sapere quali misure siano “adeguate”, per poi applicarle, bisogna analizzare quali rischi si possono presentare.
Un approccio “risk based”, dunque, impone di eseguire almeno un minimo di analisi.
Con molta sintesi si può dire che il rischio è una situazione di incertezza: una situazione in cui un evento può essere più o meno probabile e può avere conseguenze, impatti o gravità diverse.
Quella che il Gdpr chiede di valutare, poi, e di documentare, è un’analisi che sia rivolta non tanto agli asset e ai beni aziendali (che sono comunque fondamentali e il cui assessment va preso in considerazione per altri fattori), quanto, come detto sopra, ai diritti e le libertà delle persone.
Un adeguamento consapevole e tendenzialmente corretto, dunque, comporta la necessità di:
- comprendere il contesto e l’ambito in cui si opera,
- identificare quali rischi si possano presentare,
- analizzarli in relazione alla possibilità che si presentino e alle conseguenze che potrebbero avere e,
- “pesati” questi fattori,
- decidere, documentando adeguatamente, come “trattarli”.
Che potrebbe, in teoria (molto in teoria…), anche significare accettarli per quelli che sono. L’importante, però, è farlo.
#privacy #dataprotection #rischio