Privacy, trattare dati personali

Privacy, trattare dati personali è un’attività che comporta rischi, è bene comprenderlo da subito.

Il GDPR introduce il concetto di rischio, evidenziando come sia un elemento pervasivo di tutto il sistema di trattamento; ogni azione, ogni procedura, ogni dato deve passare sotto la lente di ingrandimento della gestione del rischio.

Ma che cos’è il rischio? Il rischio viene definito come «L’eventualità che un’azione o un’attività scelta porti ad una perdita o ad un evento indesiderabile». In questo il GDPR non ci viene molto in aiuto, in quanto, sebbene richiami quattro tipologie di rischio e tre necessità di calcolo del rischio, stesso, non li definisce, non ci indica i presupposti per il loro calcolo.

 

 

Dobbiamo infatti riportare che il GDPR ci indica che esiste:

  • Il Rischio accettabile o Ra
  • Il Rischio inerente o Ri
  • Il Rischio residuo o Rr
  • Il Rischio secondario o R2

Il «rischio» nel GDPR seppur presentandosi con lo stesso nome, non ha uguale definizione e tecniche di calcolo e quindi ci troveremo a dover affrontare:

  1. Il Rischio inerente il trattamento (DVR)
  2. Il Rischio sui diritti e le libertà degli interessati (DPIA)
  3. Il Rischio per determinare l’impatto che una violazione comporti per i diritti (DataBreach)

Il titolare oltre a capire la differenza, dovrebbe instaurare processi di identificazione differenziati, con matrici e algoritmi diversi, applicando prassi e procedure che conducano a stabilire criteri stratificati di accettazione dei rischi.