x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Valutazione del rischio: facile girarsi dall’altra parte

Lecce
Ph. Antonio Capodieci / Lecce

Altri articoli dell'autore

Diritto /

Contratto valido anche se il consenso è dato da un pollice emoji?

Diritto /

Locazione immobili commerciali: per il recesso attenzione alla formula che si utilizza

Diritto /

Galeotto fu Google Street View

Vi ricordate della valutazione del rischio? Ma sì, dai, quella “nascosta” nell’articolo 35 del GDPR!

“Nascosta” perché l’articolo 35 è rubricato “valutazione d’impatto”, che è un’altra cosa. Eh sì, è un’altra cosa.

La valutazione del rischio è una valutazione che andrebbe effettuata sempre prima di iniziare un trattamento poi, se da essa ne dovesse risultare un rischio elevato per i diritti e le libertà dell’interessato, allora dovrebbe seguire una valutazione d’impatto, che contenga tutti gli elementi indicati dall’articolo 35 (descrizione del trattamento, valutazione della proporzionalità e della necessità del trattamento, misure adottate a mitigazione del rischio ecc.).

Come si potrebbe stimare il rischio elevato per la valutazione di impatto senza una previa valutazione del rischio? Impossibile.

Fanno eccezione i soli casi in cui è già l’Autorità nazionale che ha elencato i trattamenti per i quali la valutazione di impatto è necessaria. Per questi non si scappa. La valutazione d’impatto va fatta ma, si presume, perché la valutazione del rischio è già stata fatta dall’Autorità nazionale.

La valutazione del rischio è quindi strumentale alla valutazione di impatto, chiaro. È l’unico connubio da considerare? Ovviamente no.

È noto che il GDPR è fondato sul principio di accountability, il cui diretto corollario risiede in una metodologia basata sul rischio (risk-based approach). Titolari e responsabili del trattamento si devono orientare in un framework normativo con principi ed obblighi di ampio respiro, sulla base delle loro valutazioni, che andranno documentate, giustificate e prese, esattamente seguendo questo ordine logico (non è sempre così. Chi fa, sa).

In ognuno di questi passaggi, titolari e responsabili del trattamento devono essere orientati dalla valutazione del rischio. Come definisco le misure privacy by design e privacy by default se non ho idea del rischio correlato alla misura scelta? Come determino le misure di sicurezza tecniche ed organizzative a protezione del trattamento se non so il rischio relativo a quel trattamento? Come capisco se esistono altre misure adottabili che mitigano il rischio se prima non l’ho nemmeno valutato? 

Tutte domande retoriche, ovviamente, ma che convergono in una stessa direzione, quella della necessità della valutazione del rischio. La valutazione del rischio è il cuore pulsante del GDPR. E se è vero che al cuor non si comanda …

Non è invece esercizio retorico domandarsi come vada effettuata la valutazione del rischio.

Il terreno è insidioso, soprattutto per i giuristi, poco abituati a formule, numeri e colori. Eppure è soprattutto a loro che i titolari ed i responsabili si appoggiano per tutti gli adempimenti privacy, il che, spesso, si traduce nella più facile delle soluzioni al problema: girarsi dall’altra parte. “L’hai fatta la valutazione del rischio? No, nel mio caso non serve” (?).

Le istituzioni ed autorità sembrano gradualmente aver preso sempre più sensibilità verso il problema della valutazione del rischio, arrivando quindi ad elaborare tool e guida.

Celebre esempio è il tool della CNIL per la realizzazione di una valutazione d’impatto, che necessariamente presuppone la valutazione del rischio, aggiornato il 30 giugno 2021 alla versione 3.0.

C’è poi il tool dell’ENISA, del 27 gennaio 2020, che è mirato sulla valutazione del rischio nell’ottica di predisposizione delle misure tecniche ed organizzative da parte di titolari e responsabili del trattamento.  

Diverso l’approccio dell’AEPD (Garante spagnolo) che ha pubblicato una guida sulla valutazione del rischio e sulla sua gestione il 29 giugno 2021. La guida si compone di 160 pagine, con tabelle a colori e spiegazione step by step di tutto quanto necessario ad effettuare una valutazione del rischio il più corretta possibile e ad intervenire con misure di mitigazione. Anche questa Autorità ha però comunicato che è prevista l’implementazione futura di un tool che possa essere utilizzato per effettuare la valutazione del rischio.

Il Garante Italiano invece? Ad oggi nessuna guida, nessun tool. Il tema della valutazione del rischio passa ancora un po’ sottotraccia. Iniziano ad arrivare sempre più sanzioni “collaterali” per la mancata realizzazione di una valutazione di impatto, come dimostra il recente provvedimento sanzionatorio adottato contro il Comune di Bolzano.

Tutto questo è solo lo scenario istituzionale, tralasciando la miriade di tool privati per la valutazione del rischio.

Qualunque sia la metodologia e/o il tool impiegato per la valutazione del rischio, resta il fatto che la valutazione del rischio va fatta! Guai a girarsi dall’altra parte perché complicata o fuori dalla zona di confort di chi numeri e formule forse non li ha mai voluti vedere.

Il GDPR è anche e soprattutto questo. Non è solo documentazione, quella è la punta dell’iceberg. È valutazione, gestione e monitoraggio.

Siamo tutto sommato agli inizi ma ormai i tempi sono quelli giusti per fare un “passo in più” che, quasi paradossalmente, è sempre stato il primo che avremmo dovuto fare: la valutazione del rischio.

Articoli più letti su questo argomento

Diritto /

La tecnica del bilanciamento nel difficile equilibrio tra accesso agli atti amministrativi e tutela della privacy

Diritto /

La riservatezza su Whatsapp

Diritto /

Diritto all’oblio nel revenge porn

Newsletter Abbonamenti