La gestione del rischio e il tema dell’accountability sono due principi fondamentali del GDPR, fra le principali innovazioni introdotte del Regolamento europeo sulla protezione dei dati personali pienamente operativo dal prossimo 25 maggio 2018. Per questa ragione, il Garante ha pubblicato un documento contenente le linee guida per una corretta identificazione e gestione del rischio privacy:
uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità per i diritti e le libertà.
L’evento e le relative conseguenze sono esplicitamente riferite all’interessato o alla persona a cui i dati personali fanno riferimento. Le analisi del rischio devono focalizzarsi sui risvolti in termini di possibile violazione privacy degli interessati, escludendo altri aspetti riferibili al titolare o al responsabile del trattamento. Il Garante suggerisce, in fase di individuazione del rischio, di considerare anche i seguenti aspetti:
- origine;
- natura;
- gravità;
- probabilità;
- impatto sui diritti e le libertà degli interessati.
Contromisure di sicurezza
La fase di individuazione e valutazione del rischio è fondamentale non solo nell’ambito del principio di responsabilizzazione ma anche per l’adozione di contromisure di sicurezza delle informazioni, che il titolare e il responsabile devono mettere in campo per mitigare il relativo rischio. Tra queste ci possono essere quelle suggerite dalla norma, come la pseudonimizzazione dei dati, ma anche tutta una serie di altre contromisure che il Garante stesso indica nella linea guida:
- qualità dei dati;
- cifratura;
- conservazione adeguata;
- anonimizzazione dei dati;
- minimizzazione;
- misure tecnologiche: policy di sicurezza logiche e fisiche, aggiornamenti servizi e software, test, controllo accessi e tracciamento operazioni;
- misure organizzative: ruoli, governance, istruzioni, formazione, procedure, audit, strumenti di controllo per gli interessati, contatti.