Quale impatto economico ha il “non” trattamento dei dati? Lo Sportello Privacy e GDPR può supportarti.

Il Trattamento dei dati personali prevede, così come enunciato all’interno della legge europea 679/2016 “GDPR”, un’analisi di impatto qualora il Rischio del trattamento possa risultare con un valore di definizione “alto Rischio”, secondo il quale è obbligo l’applicazione di azioni atte a mitigare il rischio al fine di scongiurare lo stop al trattamento stesso.

Andando per ordine, cerchiamo di porre una base di azione per capire esattamente come muoverci e cosa ci viene chiesto.

All’interno di tutte le nostre operazioni di adeguamento alla normativa GDPR, è normale identificare il Registro dei Trattamenti quale documentazione di riepilogo ed elencazione di tutte le tipologie di trattamento dati operati all’interno della nostra struttura. Non è l’obiettivo adesso, di spiegare come redigere tale Registro e quale effettivamente sia la sua fondamentale presenza e funzione.

Esaminando rigo per rigo l’elenco dei trattamenti, al termine di ognuno ritroveremo il dato scatenante tutte le operazioni successive, obbligatorie e richieste dalla normativa: ovvero la catalogazione del trattamento secondo dei valori di “basso rischio” “medio rischio” “alto rischio” . Nel caso in cui riscontreremo la presenza di un valore “alto rischio” è imposto che venga effettuato per quel particolare trattamento l’“analisi di impatto” per la protezione dei diritti e delle libertà fondamentali delle persone fisiche (Art.1 par.2 EU 679/2016).

Ma come siamo abituati a pensare e valutare il Rischio in generale?  Purtroppo l’obiettivo principale è sempre stato rivolto all’azione di business e votato alla “produzione aziendale”, piuttosto che alla proiezione di uno scenario futuro di incidente e conseguente impatto, e chi ha compreso questo concetto è un passo avanti sia come filosofia aziendale  (percependo il Rischio non come un costo, ma come un’opportunità a “fare produzione” con attività pratiche che siano ben lontani da alti valori di rischio) applicando principio di “privacy by design e privacy by default” assicurandosi anche di non intaccare il proprio EBTDA aziendale, la propria ricchezza aziendale attaccabile da pesanti sanzioni.

La valutazione del Rischio è il risultato del prodotto tra Gravità e Probabilità del verificarsi di un evento che appunta determina il valore di Rischio. Ottimo, abbiamo finito? No, appena agli inizi e dopo le righe che seguono, avrete sicuramente intuito un concetto più grande ed una visione immediata di quanto ci viene richiesto.

Ma se ho probabilità sempre basse di avvenimento affiancata da un’indice di gravità quasi nullo, è possibile che il valore del Rischio sia nullo e parimenti sia in piena assenza di Rischio? La risposta non è scontata, anzi potremmo affermare che un risultato in cui si presenti nullità di Rischio od assenza totale, può far presagire solo un errore di imputazione o errata valutazione della gravità e probabilità occorribile, ancor più se immaginiamo che anche attraversare semplicemente una strada, possa incontrare livelli di rischio differenti basati sul comportamento ed atteggiamento attuati nell’azione.

Quindi, se ho un valore di Rischio parametrato su valori tali per cui con una scala ho indicizzato il valore “basso” / “medio” / “alto”, posso dire di aver raggiunto lo scopo e conseguentemente svolto quanto richiesto dal GDPR?   No, non ancora…è ancora presto e lontano l’obiettivo…

La realtà dato-centrica, dove immaginiamo che la vera importanza sia la protezione del dato, deve necessariamente porre uno sguardo sulla tipologia del dato (vedi definizione dato personale/dato particolare) ma soprattutto a chi appartiene quel dato, ovvero alla persona.  Quindi, la filosofia persona-centrica è il giusto indirizzo per poterne valutare esattamente l’impatto nel trattamento dei dati ed essere adeso a quanto richiesto dal GDPR.

Normalmente in azienda, siamo votati a pensare che la protezione del dato sia insito nel livello di sicurezza applicata ai dati e, quindi la soluzione di pensiero volge verso la “Sicurezza informatica” che, attraverso l’implementazione di strumenti di difesa e rilevazione, possano mantenere al sicuro i dati residenti e la trasmissione dei medesimi durante -ad esempio- lo scambio informazioni nella relazione cliente/fornitore.

Ecco quindi, che la parte di sicurezza informatica e sistemi informativi, è fondamentale se non obbligatoria pensando alla business continuity, aiuta e supporta l’implementazione di difese attive, delle difese passive e la creazione di procedure di ripristino dei dati in caso di incidente ai sistemi informativi. Ma tutto questo è una parte tecnica, ovvia, votata alla protezione del dato e del business che, parimenti va nella direzione opposta alla protezione dei dati personali volta a proteggere i diritti fondamentali e le libertà delle persone.

Quindi? Non tratto dati, così non danneggio le persone?  No… assolutamente, anzi se così fosse inteso, avremmo proprio interpretato male -se non al contrario- la normativa GDPR, secondo la quale, si vuole aumentare la libera circolazione e scambio dati all’interno del SEE per tutte le attività che quotidianamente trattano dati. Ergo, non avremmo più circolazione dati e quindi impossibilitati a fare qualsiasi attività di mercato.

Ma se non basta calcolare il Rischio, cosa devo fare per implementare una corretta valutazione impatto ed essere compliant al GDPR?  La risposta, oltre a quella di interpellarci direttamente, può essere articolata e espressa attraverso l’osservazione diretta del prodotto, ovvero alla diesamina dei fattori che sopra abbiamo denominato gravità e probabilità, questi, non bastano per determinare il vero impatto sulle persone e serve analizzare un altro componente – nel prodotto – all’interno del trattamento dati in esame che può significare la variabile di danno ed impatto nei confronti delle persone.

Ecco quindi, come riusciamo ad effettuare una corretta DPIA ed essere di buon grado compliant a quanto richiesto dal GDPR.

Ma quali strumenti posso utilizzare? Certificazioni, Schemi, basi dati in particolare?

Chiariamo fin da subito che, l’obiettivo finale non dev’essere la bollinatura/”seal” delle nostre operazioni, ma piuttosto il corretto funzionamento dell’impianto di analisi strutturato all’interno della nostra azienda, basato su costante analisi ed aggiornamento del Registro dei Trattamenti strettamente correlato alla Valutazione del Rischio e Valutazione di impatto. L’utilizzo di certificazioni di qualità (ISO 900x), certificazioni di sicurezza delle informazioni (ISO 27xxx), così come tante altre disponibili, rappresentano valide attività ma “aspecifiche” per il trattamento dati e quanto richiesto dal GDPR. La Commissione Europea nel suo lavoro sui meccanismi di certificazione ha dato una sua linea di indirizzo, evidenziando come su 117 schemi nel mondo, solo due schemi: Europrise e ISDP10003 fossero “specifici” (in scopo art. 42). Pertanto seguire uno di questi due schemi non soltanto ci aiuta a definire i livelli di Probabilità e di Gravità , ma anche di definire il Rischio accettabile, il Rischio inerente, il Rischio residuo ed il valore in percentuale di quanto le mitigazioni in atto possono incidere sul trattamento in esame .

Per maggiori informazioni, contatto il nostro Sportello Privacy e GPDR.

Alessandro Oliva

IT Engineer | DPO | Feniva srl

Auditor ISDP©10003

Valutatore Privacy UNI 11697:2017