CONTATTACI

Valutazione dei rischi o comprensione degli impatti? La giusta rilevanza della DPIA

Riprendiamo l’articolo pubblicato in data 05/02/2024 su Cybersecurity360.

 

La valutazione dei rischi e la comprensione degli impatti sui diritti e le libertà fondamentali delle persone sono due elementi apparentemente sequenziali ma che, invece, devono essere considerati interconnessi e interdipendenti. Comprenderlo può guidare verso un approccio più equilibrato e completo alla gestione dei rischi per i diritti fondamentali nonché all’applicazione dei sistemi di intelligenza artificiale ai processi di valutazione

In un precedente articolo è stato evidenziato come il trattamento di dati personali costituisca un pericolo, i.e. una sorgente di danno, e che conseguentemente ogni esposizione a tale pericolo – i.e. ogni avvio di un processo di elaborazione di dati personali – determina un rischio per i diritti e le libertà fondamentali.

Tutto l’ecosistema della data protection è quindi caratterizzato da un approccio basato sul rischio e sulla sua continua valutazione.

Poiché tale valutazione poggia sulla comprensione degli impatti e sulla individuazione delle verosimili minacce, di seguito sarà esaminata l’interconnessione tra rischi e impatti nella protezione dei dati.

 

Valutazione dei rischi e comprensione degli impatti potenziali

I Garanti europei, nelle Linee Guida WP248 rev.01, hanno definito:

  1. il “rischio” come uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità;
  2. la “gestione dei rischi”, invece, come l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi.

Quindi, per una corretta gestione dei rischi per i diritti e le libertà delle persone fisiche, gli stessi rischi devono essere regolarmente:

  1. individuati,
  2. analizzati,
  3. stimati,
  4. valutati,
  5. trattati (i.e. mitigati, attenuati),
  6. riesaminati.

In tale quadro, la valutazione dei rischi e la conoscenza e comprensione degli impatti potenziali sono due elementi fondamentali della gestione del rischio. Entrambi costituiscono anche momenti essenziali del processo che il GDPR pone, o meglio impone al titolare del trattamento di eseguire per garantire e dimostrare la compliance delle attività di trattamento dei dati personali: la DPIA.

 

La DPIA naturale contesto di valutazione dei rischi e comprensione degli impatti

Per comprendere la rilevanza della DPIA occorre partire dal Considerando 89 del GDPR che pone le basi per comprendere l’essenza del processo di valutazione di impatto.

Tale Considerando, tra l’altro, così motiva e giustifica testualmente l’abolizione dell’ obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali introdotto dalla precedente direttiva 95/46/CE: “È pertanto opportuno abolire tali obblighi generali e indiscriminati di notifica e sostituirli con meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità”.

È da notare che lo stesso Considerando 89 non fa riferimento a trattamenti che “presentano un rischio elevato” ma precisamente a trattamenti che “potenzialmente presentano un rischio elevato”.

In linea con l’indicazione del Considerando 89, il Considerando 84 sancisce che: “per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio”.

 

Vengono prima i rischi o gli impatti?

Ora, dal punto di vista operativo, anche nello sviluppo di una DPIA, vengono prima i rischi per i diritti e le libertà degli interessati o gli impatti potenziali?

La domanda potrebbe apparire banale e intuitivamente verrebbe da rispondere che l’impatto segue sempre una valutazione di un rischio che in concreto – passando dalla potenza all’atto – si è trasformato in un danno fisico, materiale o immateriale.

Eppure, la domanda non è così banale, se si considera che per eseguire una corretta “valutazione dei rischi”, occorre comparare i processi aziendali esposti a sorgenti di danno con una tassonomia di potenziali impatti e di verosimili minacce.

Queste tassonomie sono contenute in alcune Best Practice (e.g. ISO 29134:2017) ma possono anche derivare da casistiche e statistiche di esperienze concrete i.e. dalle cc.dd. lesson learned.

Ed ecco che in questa prospettiva la casistica/statistica di impatti appare strumentale e non è più sequenziale ma diventa addirittura prodromica alla valutazione del rischio.

 

L’importanza delle lezioni apprese

Con l’argomentazione precedente si è cercato di evidenziare come le lezioni apprese dalle esperienze passate e dalle situazioni di rischio possano alimentare e rafforzare i processi di gestione del rischio.

Così, analizzando gli impatti delle situazioni di rischio precedenti, le organizzazioni possono identificare le aree di vulnerabilità e migliorare i loro approcci di gestione del rischio per prevenire futuri incidenti.

Quindi senza pregresse esperienze di danni non possiamo valutare efficacemente i rischi. D’altra parte. cosa sono gli impatti e le minacce riportati nelle casistiche/statistiche se non pattern che ci aiutano a fare previsioni?

 

Machine Learning e valutazione dei rischi

L’applicazione del Machine Learning alla valutazione dei rischi privacy offre un nuovo approccio per affrontare le sfide legate alla valutazione dei rischi e degli impatti.

Gli algoritmi di Machine Learning possono analizzare grandi quantità di dati per identificare pattern che potrebbero indicare potenziali impatti, minacce o vulnerabilità.

In tal modo il Machine Learning può essere utilizzato per predire impatti futuri in base alle tendenze storiche e alle informazioni disponibili.

 

Conclusioni

Richiamando alla mente il paradosso causale della domanda: “È nato prima l’uovo o la gallina?”, abbiamo cercato di evidenziare la necessità di gestire i rischi all’interno di un’organizzazione adottando un approccio equilibrato che integra valutazione dei rischi, comprensione degli impatti potenziali e individuazione delle verosimili minacce.

Si crea, così, un contesto in cui l’applicazione del Machine Learning può svolgere un ruolo significativo nel fornire insights e previsioni per supportare le valutazioni, tenendo in sicurezza l’organizzazione.

 

Giuseppe Alverone – Amministratore Unico presso DATA FABER. Consulente e formatore privacy

Piermaria Saglietto – Ceo Compet-e srl & Senior Compliance Consultant

Condividi

Alcuni nostri clienti

Precedente
Successivo

Compet-e srl

A TESISQUARE® Ecosystem Company

Facebook Linkedin

CF – PIVA: 02760970042

Tel: 0172 38 27 63 – Fax: 0172 18 32 072

info@compet-e.it – compet-e@pec.it

Codice fatturazione: USAL8PV

SEDE DI BRA

Via Don Luigi Orione, 202/G
12042 – BRA Fraz. Bandito (CN)

SEDE DI ROMA

Viale Giorgio Ribotta, 11
00144 – ROMA (RM)

Resta sempre aggiornato!

Iscriviti alla nostra newsletter per essere sempre aggiornato sulle novità e le ultime notizie in ambito di compliance, privacy e sicurezza.

Ti invieremo solo notizie interessanti e pertinenti, nessuno spam!

Centro privacy e compliance.

Informative
Privacy Policy & Cookie
Informativa clienti
Informativa fornitori
DPA – Data processing Agreement
Politiche

Politica per la protezione dei dati personali
Politica  sistema di gestione integrato

Diritti degli interessati
Esercizio dei diritti degli interessati
Ci trovi sul Marketplace ACN
Catalogo dei servizi Cloud qualificati per la PA

ACN Cloud Marketplace

Prassi di Riferimento
UNI/PdR 43:2018

logo-dasa-raegister

ISO/IEC 27001:2022
IIS-0223-01

UNI EN ISO 9001:2015
IQ-0423-02

© 2023 COMPET-E SRLinfo@compet-e.itCompet-e Srl – Via Don Luigi Orione 202/G, 12042 Bra fraz. Bandito (CN) – PIVA/CF 02760970042