GDPR Privacy 2018

VALUTAZIONE DEL RISCHIO PRIVACY

Se siamo titolari di un trattamento, con il nostro studio professionale oppure con la propria azienda oppure con altra organizzazione, il trattamento dei dati personali degli interessati può essere esposto ai seguenti rischi:

• Accesso non autorizzato

• Divulgazione non autorizzata

• Distruzione volontaria

• Trafugamento per fini impropri

Accesso non autorizzato

Il caso classico potrebbe essere quello di un dipendente (non autorizzato) che accede all’archivio del personale aziendale e viene a conoscenza dei dati identificativi e particolari dei suoi colleghi.

Divulgazione non autorizzata

Un agente commerciale dell’azienda che opera sui dati personali dei clienti potrebbe trasferire incautamente i dati ai suoi collaboratori che, senza passare per il processo di “nomina come autorizzato”, scambiamo i dati attraverso le mail personali con controllate

Distruzione volontaria

Un dipendente potrebbe distruggere i dati personali dell’archivio fornitori allo scopo di generare volontariamente danno all’azienda titolare del trattamento. Ricostruire un database fornitori significa richiedere di nuovo i dati personali agli interessati, consegnare le nuove informative, gestire i casi che richiedono il consenso.

La distruzione volontaria di dati personali di pazienti, nell’ambito di una struttura sanitaria, potrebbe provocare incidenti gravi per i malati il cui stato di salute, a seguito della distruzione dei dati, risulta un dato non più rinvenibile.

Trafugamento per fini impropri

Di tutti i rischi, il trafugamento è quello che nasconde maggiori insidie. L’atto di rubare i dati personali presuppone infatti l’esistenza di uno scopo illecito di trattamento, una finalità che l’interessato non conosce e per la quale molto probabilmente non avrebbe dato il consenso.

Il procedimento della valutazione dei rischi

La valutazione dei rischi privacy è un adempimento fondamentale del GDPR. Il titolare del trattamento può procedere in due maniere differenti:

• Per processi

• Per interessati

Nel primo caso il titolare del trattamento ricerca i rischi dei dati personali all’interno delle attività che l’organizzazione compie quotidianamente. Ritroverà rischi privacy nelle fasi seguenti:

• Processo della contabilità

• Redazione delle buste paga

• Sviluppo di comunicazione verso il cliente

• Registrazioni dei clienti sul sito web

• Impiego della telecamera

• Stesura dei contratti

• Fornire assistenza post vendita

• Visite mediche per la salute e la sicurezza sul lavoro

Nel secondo caso i rischi privacy possono essere ricercati analizzando le varie categorie di interessati:

• Dipendenti

• Consulenti

• Fornitori

• Clienti

• Candidati all’assunzione

• Visitatori

• Ispettori esterni

• Stagisti

All’individuazione dei rischi presenti nei processi oppure ricercati nelle categorie degli interessati segue la valutazione dei rischi che consiste nell’attribuire, a ciascun rischio individuato, un valore di rischio che dipende da due fattori:

• Probabilità

• Gravità delle conseguenze

Decidiamo che la probabilità possa essere alta, media o bassa ed assumere tre valori e cioè 3, 2 oppure 1 come segue:

Probabilità alta = 3

Probabilità media = 2

Probabilità bassa = 1

Decidiamo poi che la gravità delle conseguenze possa essere alta, media o bassa ed assumere tre valori e cioè 3, 2 oppure 1 come segue:

Gravità alta = 3

Gravità media = 2

Gravità bassa = 1

Se, nella nostra azienda, consideriamo il rischio di “accesso non autorizzato” ai dati personali dei clienti da parte di qualche dipendente mal intenzionato possiamo procedere come segue:

Rischio accesso non autorizzato = Probabilità X Gravità

Rischio accesso non autorizzato = 2 X 3

Rischio accesso non autorizzato = 6

Ciascun rischio, in relazione al prodotto del valore assunto dalla probabilità con quello della gravità può assumere un valore che va da 1 a 9. La matrice che segue definisce i valori di rischio e la relativa accettabilità del rischio.