Con l’entrata in vigore del nuovo regolamento europeo in materia di protezione dei dati personali (regolamento n. 679/2016 ), il prossimo 25 maggio 2018, le varie aziende ed enti pubblici e privati, dovranno affrontare alcune novità rispetto al passato, una di queste è la valutazione del rischio sulla privacy, denominata anche DPIA, acronimo che deriva dalla definizione inglese Data Protection Impact Assessment.
La valutazione del rischio è un’operazione che si dovrebbe fare prima di avere un database, o comunque durante la raccolta e il trattamento di banche dati.
È finalizzata a calcolare l’entità di un possibile danno derivato dalla perdita o dal furto di dati sensibili e le probabilità che questi eventi si verifichino, in modo da determinare a priori adeguate attività e contromisure affinché questo rischio sia ridotto al minimo.
La valutazione parte da un concetto che sembra scontato ma che nelle maggior parte delle aziende non ci si pone: cosa succederebbe se l'archivio venisse violato?
Prendiamo l'esempio di uno studio medico specialistico. Si presuppone che all'interno dello studio siano conservate le cartelle dei pazienti con dati personali anagrafici e sanitari relativi all'anamnesi dei pazienti. Ci saranno sia documentazioni cartacee che digitali. E tutte vanno protette nel modo adeguato.
I dati legati alla salute sono un esempio classico dei dati sensibili da tutelare e proteggere. Basti pensare al fatto che le informazioni sulla salute sono coperte da segreto professionale del medico e possono essere rese accessibili solo con ordinanza della Procura per ragioni di rilevanza giuridica, per esempio per accertare una colpa medica.
Nel caso di aziende con database sensibili, la valutazione del rischio di violazione è ancora più importante per capire come lavorare in totale sicurezza.
Un altro esempio vicino alla vita di tutti i giorni è la produzione di registrazioni di immagini digitali, come nel caso delle telecamere di sicurezza: dati biometrici rilevati devono essere raccolti e trattati nel rispetto della legge.
La valutazione del rischio nel nuovo Regolamento UE è importante in quanto è strettamente legata al concetto di accountability, che in sostanza indica la responsabilità e l’obbligo di rendere conto del proprio operato da parte dei vari incaricati responsabili del trattamento dei dati.
Per sapere esattamente quali sono i rischi e come evitarli, leggi anche questo articolo.
Secondo l’articolo 35(1) del novo regolamento europeo n. 679/2016 la valutazione del rischio è richiesta espressamente quando l’operazione su dati personali è “suscettibile di provocare un rischio elevato per i diritti e le libertà delle persone fisiche”, comunque è buona norma eseguire la valutazione del rischio anche in tutti quei casi di possibile pericolo di perdita dati, in quanto è un ottimo modo per procedere all’attuazione di misure atte alla tutela dei dati trattati.
Quindi, la valutazione del rischio è uno strumento prodromico all'individuazione di una strategia efficace per la tutela dei dati e andrebbe fatta sempre. Posto questo, ci sono aziende per le quali è fondamentale e obbligatorio farla, proprio per vocazione professionale; per esempio:
Non è tutto. La valutazione del rischio è solo la porta d'ingresso di un approccio completamente nuovo alla Privacy, rispetto a com'era previsto sino ad ora. Per le aziende sta per arrivare una rivoluzione che toccherà anche gli aspetti organizzativi interni.