L’indice priorità di rischio/priority number (IRP - RPN) è un indicatore che permette di individuare quando è necessario intervenire, con misure di mitigazione dedicate, considerando il rischio associato ad un evento inaccettabile e quando invece lo stesso rischio può essere considerato come accettabile. Il Titolare è comunque consapevole che l’unico modo per eliminare un rischio è quello di rimuovere la fonte che lo genera.

L’accountability, come ormai ampiamente condiviso, porta a definire, sulla base della valutazione dei rischi, le misure che servono alla mitigazione degli stessi, agendo sulle leve di gravità, probabilità e rilevabilità. Le misure sono definite dal Titolare del trattamento sulla base della valutazione dei rischi, che può essere condotta secondo approcci diversi. Il risultato della valutazione è l’IRP - indice di priorità del rischio/risk priority number, che deve essere confrontato con il livello di priorità stabilito sulla base del superamento di una determinata soglia di intervento. 

In questo articolo si sviluppa il tema della rilevabilità del rischio, una delle componenti da considerare nella valutazione dei rischio.  La rilevabilità - detectability - (R) misura la facilità di intercettazione/individuazione dell’evento prima che questo si manifesti. Alcuni esempi:

Nell’articolo “La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019” sono stati introdotti alcuni temi sulla valutazione dei rischi confrontando quanto richiesto dalla ISO/IEC 27001:2013, dalla ISO/IEC 27701:2019 e dal REG. UE 2016/679. In questo secondo articolo sul tema si desidera porre l’accento su alcune modalità con le quali può essere condotta la valutazione dei rischi, illustrandole tramite alcuni semplici esempi.

Sulla valutazione dei rischi per la sicurezza dei dati personali, come richiede il Regolamento UE 679/2016, si è molto scritto e molto dibattuto. In questo articolo si vogliono fornire alcune considerazioni sul tema, analizzando i requisiti della ISO/IEC 27001:2013 e della ISO/IEC 27701:2019, alla luce del GDPR. Anzitutto è bene considerare la valutazione dei rischi nella prospettiva della ISO/IEC 27001:2013, della ISO/IEC 27701:2019 e del Regolamento UE 2016/679.

Nell’articolo “Le indagini condotte dal Dpo nel rispetto del principio di minimizzazione” è stato trattato il tema delle invasività delle indagini del Dpo, che deve mediare tra la ricerca di informazioni e l’applicazione del principio della minimizzazione. Tale soggetto non è però l'unico organo chiamato, in particolari circostanze, ad effettuare delle indagini; tale compito spetta anche, ma non solo, all’ Organismo di vigilanza, come previsto dal D.lgs 231/2001 - Responsabilità amministrativa delle società e degli enti - nell'esercizio delle funzioni che gli sono proprie. Valgono quindi, anche per tale ente, le considerazioni che sono già state formulate, oltre ad alcuni elementi aggiuntivi che è opportuno mettere in luce, i quali saranno trattati in questo articolo, che è da considerare la logica prosecuzione del precedente.

Il Data Protection Officer è una funzione di così recente introduzione che stiamo tutti imparando a comprendere come deve esercitare, nel migliore dei modi, il suo ruolo, in particolare in condizioni complesse. In questo articolo si vuole approfondire un tema specifico, spesso trascurato, che riguarda l’invasività delle indagini che il DPO deve svolgere nel rispetto del principio della minimizzazione dei dati. Egli si può trovare infatti a condurre indagini, in modo sostanzialmente analogo a quanto viene svolto dall’Organismo di Vigilanza nominato ai sensi del D.lgs 231/2001, per approfondire, ad esempio:

In occasione del seminario che Federprivacy ha organizzato venerdì 8 ottobre, a cui hanno partecipato più di 600 esperti del settore, sono stati affrontati, sia pure in presenza di molte incertezze dovute ad un quadro normativo in continua evoluzione, i temi relativi alla gestione deli controlli sulla validità del Green Pass i cui controlli, nella PA e nelle imprese private, saranno obbligatori dal 15 ottobre per poter accedere ai luoghi di lavoro.