Come gestire il risk assessment nell’emergenza

In presenza di una situazione emergenziale, la valutazione di impatto precedentemente effettuata ai sensi dell’art. 35 del GDPR dovrà essere oggetto di aggiornamento, considerando e/o rivalutando i rischi precedentemente mappati e gli eventuali nuovi rischi connessi all’evento verificatosi

Pubblicato il 06 Apr 2020

Elena Cannone

senior associate, compliance, focus team leader De Luca & Partners

case History, la gestione del rischio in partnership con Augeos della Banca Popolare di Puglia e Basilicata

Uno dei capisaldi su cui si fonda il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (cd GDPR) è il principio della accountability. Nello specifico l’art. 24 del GDPR prevede che il Titolare del trattamento – “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” – metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR stesso. Misure queste che devono essere riesaminate e aggiornate, qualora necessario.

Al fine di rispettare il principio dell’accountability è, pertanto, indispensabile procedere con l’individuazione e la gestione del rischio relativo al trattamento, così da valutare l’attuazione di politiche interne adeguate e l’adozione di misure che soddisfino, in particolare, i principi della protezione dei dati fin dalla progettazione (by design) e della protezione dei dati di default (by default).

La valutazione di impatto ex art. 35 GDPR

Il titolare del trattamento, allorquando i rischi presentino una elevata percentuale di pregiudizio per i diritti e le libertà delle persone fisiche, proprio in virtù del principio dell’accountability sopra citato, è tenuto a effettuare una preventiva “valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali” (cd valutazione di impatto o DPIA).

La valutazione di impatto deve contenere, secondo l’art. 35 del GDPR), almeno:

a) una descrizione sistematica dei trattamenti previsti e delle relative finalità;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi e delle libertà degli interessati;

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR medesimo, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

In considerazione di quanto sopra, il titolare del trattamento, per procedere a una corretta valutazione di impatto, deve condurre una attenta analisi di rischi (Risk assessment). Detta analisi consiste in una metodologia caratterizzata dalle seguenti fasi:

1: identificazione del rischio inerente. Essa consiste nell’attività di individuazione del rischio attuale e potenziale che si concretizza nella raccolta di tutte le informazioni e dei dati necessari ad individuare il rischio in esame;

2: analisi della vulnerabilità. Nello specifico viene analizzata l’adeguatezza dell’assetto organizzativo e dei presidi di prevenzione e monitoraggio rispetto ai rischi identificati;

3: determinazione del rischio residuo. Questa fase consiste nella valutazione del livello di probabilità di accadimento del rischio individuato nonché della gravità degli effetti che si produrrebbero nel caso in cui l’evento si verificasse;

4: azioni di rimedio. In particolare, si procede con l’individuazione, la definizione e l’attuazione delle misure adeguate ad eliminare o ridurre il livello di rischio emerso.

La combinazione dei giudizi di rischio inerente e di vulnerabilità determina, in base a una matrice dei rischi predeterminata, l’attribuzione della fascia di rischio residuo secondo una scala di valori prefissati (di norma 4: significativo, medio alto, medio basso, basso).

Terminata l’analisi del rischio, di fondamentale importanza è prevedere un piano di verifica e controllo costanti aventi l’obiettivo di monitorare il rispetto delle misure adottate e la validità nel tempo delle stesse, individuando le procedure da seguire in caso di variazione dei rischi precedentemente mappati nonché i soggetti adibiti a svolgere tale monitoraggio (Risk management). È opportuno che i risultati dell’analisi dei rischio svolta vengano portati a conoscenza degli eventuali organi di controllo e successivamente approvati dal Consiglio di Amministrazione.

La valutazione di impatto nelle situazioni di emergenza

In presenza di una situazione di emergenza (come nel caso di una pandemia), una valutazione di impatto precedentemente effettuata ai sensi dell’art. 35 del GDPR, dovrà essere oggetto di aggiornamento, considerando e/o rivalutando i rischi precedentemente mappati e gli eventuali nuovi rischi (effettivi o potenziali) connessi all’evento verificatosi.

Inoltre, sarà necessario riesaminare le misure tecniche e organizzative precedentemente adottate così da verificare la loro idoneità a garantire la conformità del trattamento e la protezione dei dati personali dei soggetti interessati e, se necessario, apportarvi gli opportuni correttivi.

Qualora la situazione di emergenza comporti un rischio elevato a fronte del quale non sussistano misure per attenuarlo, il titolare dovrebbe valutare la necessità, prima di procedere con il trattamento, di consultare, ai sensi dell’art. 36 del GDPR, l’Autorità di controllo (alias il Garante per la protezione dei dati personali). L’Autorità adita sarà chiamata a fornire un parere scritto, entro un termine di otto settimane dal ricevimento della richiesta di consultazione.

Per completezza di esposizione, si precisa che nelle ipotesi di “nuovi trattamenti” di dati personali direttamente scaturenti dalla situazione emergenziale (come ad esempio la rilevazione della temperatura corporea), il titolare dovrà procedere all’aggiornamento e all’integrazione del registro delle attività di trattamento (articolo 30 del GDPR).

Da quanto sopra ne deriva che, anche in situazioni di emergenza, deve essere garantito il pieno presidio dei rischi potenziali e/o effettivi che possano rappresentare una minaccia per il corretto trattamento dei dati personali e, di conseguenza, dei diritti e delle libertà degli interessati. Ciò al fine di non incorrere nelle pesanti sanzioni previste dal G

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Elena Cannone
senior associate, compliance, focus team leader De Luca & Partners

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4