Gestione del rischio e GDPR, il ruolo del dato personale

Come si configurano i concetti di rischio, pericolo e danno alla luce del regolamento europeo sul trattamento dei dati personali

Pubblicato il 17 Feb 2020

Samuel De Fazio

Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

case History, la gestione del rischio in partnership con Augeos della Banca Popolare di Puglia e Basilicata

Quando parliamo di protezione dei dati, sempre più spesso oggi ci troviamo ad affrontare l’argomento della valutazione d’impatto ex art. 35 e, se ci si spinge oltre, si arriva a trattare di valutazione dei rischi. Il concetto, tuttavia, non è nuovo e dovrebbe essere ormai cementato nelle buone prassi almeno dal 2003.

Ricordiamo il fu art. 15 del Dlgs 196/2003, rubricato “Danni cagionati per effetto del trattamento”, che recitava: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2.050 del Codice Civile”, il quale, quest’ultimo, rubricato “Responsabilità per l’esercizio di attività pericolose”, dispone che “Chiunque cagiona danno ad altri nello svolgimento di una attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”, concetto attualmente ripreso in modo praticamente pedissequo anche dalla normativa sulla responsabilità amministrativa degli enti e dallo stesso GDPR, con l’art. 82.

Il combinato disposto dei citati articoli, quindi, lascia dedurre in modo logico che, per presunzione di legge, il trattamento di dati personali sia un’attività pericolosa, ossia abbia la caratteristica di avere la potenzialità di generare un danno. Con il GDPR, questo danno viene generalmente indicato come la lesione di un diritto o di una libertà di una persona fisica.

Cosa si intende per pericolo, danno e rischio

Occorre, a questo punto, soffermarci e riflettere sul significato delle parole “pericolo”, “danno” e “rischio”. Senza voler imbastire una lezione di risk management, in modo estremamente sintetico possiamo affermare che:

– il pericolo è la qualità intrinseca di qualcosa di creare un danno a qualcos’altro;

– il danno è la diminuzione dello stato di integrità di qualcosa;

– il rischio è la probabilità che si verifichi qualcosa di dannoso, generando un determinato danno su qualcosa.

Il nostro “qualcosa” è, senza dubbio, identificato con il complesso dei diritti e delle libertà delle persone fisiche, non necessariamente degli interessati ai sensi del GDPR, il pericolo, come detto, è rappresentato dalla mera attività di trattamento dei dati, mentre il danno è certamente la diminuzione della possibilità di godere appieno di diritti e libertà.

Dove si collocano, quindi, i dati personali?

Essi sono chiaramente l’oggetto del trattamento, ma, adottando un approccio per processi, ci si accorge facilmente che sono ciò con cui si effettua il trattamento, in quanto costituiscono la “materia prima” da utilizzare attraverso una o più operazioni per modificare lo status quo.

Il dato personale, quindi, non è altro che un elemento strumentalmente funzionale al raggiungimento di uno scopo determinato e voluto, ossia le “finalità” che ogni titolare dovrebbe definire a priori e comunicare agli eventuali responsabili e a tutti gli interessati. E questa visione del dato personale è ormai largamente confermata dal semplice fatto che esso è considerato un bene mobile negoziabile e su cui fare speculazione, esattamente come qualsiasi altro elemento patrimoniale di un qualsiasi titolare del trattamento.

La domanda da porsi, oggi, prima di iniziare qualsiasi trattamento, mentre si cerca di applicare il principio di privacy by design, dovrebbe essere la seguente: “Posto che voglio raggiungere questa finalità, se organizzo il trattamento con queste caratteristiche, applicandolo a questi dati personali, quanto è probabile che leda i diritti e le libertà di qualcuno?”

A cui dovrebbe seguire: “Posto che il trattamento che voglio effettuare, applicato a quei dati personali, è in grado di creare una lesione dei diritti e delle libertà di qualcuno, come valuto questo danno?”.

E qui occorrerebbe fare particolare attenzione non tanto agli aspetti qualitativi dei dati, ma a quelli sia quantitativi e qualitativi degli interessati.

Cosa si protegge con i dati personali

È chiaro, ora, che, se si approccia la materia in questo modo, appaiono sotto una luce diversa anche i precetti di cui all’art. 5 del GDPR: uno strumento non può essere inadeguato, inesatto, non aggiornato, non coerente o eccessivo per gli scopi a cui si tende. Uno strumento deve essere “sicuro” e per questo motivo, deve essere protetto.

L’errore da non compiere è pensare che la protezione dei dati personali si limiti a proteggere i dati personali: la protezione dei dati personali, invece, protegge diritti e libertà della persona in quanto tale e, conseguentemente, diritti e libertà della società in cui essa vive ed esprime la sua personalità.

È storia recente la notizia della pubblicazione, da parte di ENISA (Agenzia dell’Unione Europea per la cibersicurezza), di un tool con cui effettuare la valutazione dei rischi in ambito informatico che può giocare un ruolo di rilievo nel contesto della corretta gestione della protezione dei dati personali. Più datato, invece, il software PIA, edito dalla CNIL in collaborazione con alte autorità di controllo, tra cui quella italiana, per assistere i titolari e i responsabili nella conduzione delle valutazioni d’impatto sulla protezione dei dati.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Samuel De Fazio
Esperto in protezione dei dati con attestato di qualità e qualificazione professionale dei servizi prestati, rilasciata da Associazione Data Protection Officer ai sensi degli artt. 4, 7 e 8 della L 4/2013

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4