Oggi, la protezione dei dati personali e la sicurezza delle attività di trattamento sono obiettivi fondamentali per ogni azienda. È attraverso questi obiettivi che è possibile guadagnare fiducia da parte dei consumatori, quote di mercato, e realizzare progetti ed attività innovative.

Raggiungere questi obiettivi non è semplice, soprattutto perché il GDPR pone degli standards molto elevati. Essere conformi al GDPR, e alle norme in materia di cybersicurezza, significa essere in grado di compiere scelte informate ed effettive. In che modo? La soluzione c’è, e si chiama risk management.

Attraverso una metodologia coerente di risk management è possibile stimare i rischi che possono allontanarci dai nostri obiettivi, e prendere decisioni informate – che si traducono in costi minori e maggiore efficienza.

Le prime fasi del risk management riguardano il risk assessment: la valutazione dei rischi.

Il rischio nel GDPR

Nel GDPR la parola “rischio” è nominata 78 volte.

Ma che significa “rischio”? Il rischio è un’unità di misura. Il rischio misura la portata delle conseguenze dell’avverarsi di un evento probabile sugli obiettivi di un’organizzazione. Il rischio è tipicamente una funzione dell’impatto di un evento e della probabilità della sua occorrenza.

Attenzione però! Il GDPR parla sempre e soltanto di rischi per i soggetti interessati! Ciò significa che nell’ambito di una valutazione del rischio privacy, è opportuno tenere in considerazione tutti i rischi che possono avere conseguenze negative per le persone di cui l’organizzazione tratta i dati personali.

I rischi possono certamente riguardare i parametri di sicurezza delle informazioni (riservatezza, integrità, disponibilità), ma possono altresì riguardare i parametri di protezione dei dati personali (minimizzazione, controllo, trasparenza) o i diritti delle persone.

Sviluppare un processo di risk management in privacy e cybersecurity significa tenere in considerazione gli interessi e diritti delle persone al pari degli interessi dell’organizzazione. Significa essere in grado di capire in quali frangenti i due interessi sono sovrapposti, ed in quali invece non lo sono.

I rischi non sono soltanto quelli derivanti da incidenti di sicurezza e dalla violazione della normativa.

Il solo fatto di realizzare un’attività di trattamento, lecita, potrebbe comportare dei rischi per i soggetti interessati. È fondamentale valutare anche questi rischi, ed è altrettanto fondamentale preoccuparsene già in fase di design di nuovi progetti e attività – anche per diminuire i costi.

Ad esempio, un’attività di profilazione avanzata, con processi decisionali automatizzati, potrebbe comportare dei rischi rilevanti per le persone oggetto di profilazione – pur essendo lecita e addottando misure di sicurezza adeguate.

Siete pronti ad affrontare i rischi?