La prima misura di sicurezza per la protezione dei dati? la consapevolezza
La normativa vigente in tema di protezione dei dati personali è basata sul rischio. Infatti, per l’individuazione delle misure di sicurezza adeguate è necessario calcolare il livello di rischio. La Valutazione di Impatto Privacy si effettua individuando il livello di probabilità che un pericolo si verifichi ed il livello di gravità delle conseguenze dopo che il pericolo si è manifestato.
Tutto chiaro, quindi, sulla necessità di individuare il livello di rischio. Semplice no?
Una valutazione di impatto privacy deve contenere:
- la valutazione dei rischi per i diritti e le libertà degli interessati
- le misure individuate per gestire e mitigare i rischi derivanti dal trattamento, in attuazione del principio di responsabilizzazione del titolare.
Perfetto, ora è tutto molto più chiaro.
Per individuare e adottare le misure di sicurezza adeguate al contesto, al trattamento e in considerazione dello stato dell’arte e dei costi di attuazione, è indispensabile valutare i rischi per i diritti e le libertà degli interessati.
Si tenga anche presente che anche in caso di Data Breach si devono individuare i rischi e le conseguenze per gli interessati ed in particolare se quant accaduto ha stati lesi diritti e le libertà dell’interessato. Anzi in caso di data breach si deve essere molto più obiettivi poiché l’evento avverso si è verificato ed il rischio e le conseguenze non rappresentano più una probabilità o qualcosa di teorico.
A questo punto sorge spontaneo chiedersi…. “conosciamo quali sono i rischi e le conseguenze potenziali o effettive correlate ad un trattamento dei dati personali a danno di una persona fisica a cui si riferiscono i dati?”
La risposta ricevuta dagli addetti ai lavori e dai Data Protection Officer potrebbe essere positiva. Qualche piccola incertezza, per essere ottimisti, potrebbe sorgere se la stessa domanda viene posta agli autorizzati al trattamento, al titolare del trattamento e/o al responsabile la cui attenzione di questi ultimi molto spesso è focalizzata su tematiche più cogenti.
In effetti, essendo i dati personali intangibili si potrebbe perdere la percezione del vero valore degli stessi e delle conseguenze di una loro cattiva gestione o per utilizzare un termine più familiare in conseguenza di un mal-trattamento.
(Nella foto: Giovanni Lucatorto, docente al Corso "Privacy e Gestione del Personale nella lezione sulla sicurezza dei dati)
È evidente, quindi, che l'assenza della consapevolezza dei rischi e delle relative conseguenze non consentirebbe di effettuare una corretta valutazione dei potenziali eventi avversi sottovalutando o addirittura sopravalutando le scelte delle contromisure a protezione dei dati personali trattati.
L’obiettivo della formazione sulle violazioni dei dati personali e sulle misure di sicurezza, da adottare nella gestione del personale, deve essere incentrato proprio sul cercare di condividere a titolo esemplificativo quelle che potrebbero essere le potenziali conseguenze negative, derivanti da eventi avversi nel trattamento dei dati personali e che potrebbero ripercuotersi sulle persone fisiche a cui si riferiscono gli stessi dati personali.
Un prezioso spunto è fornito dal considerando 85 del GDPR nel quale sono elencate le potenziali conseguenze che potrebbero verificarsi in caso di un data breach.
Mi permetto di segnalare, quale validissima fonte di riflessione, il libro “La privacy degli ultimi" di Guido Scorza in cui si rappresentano situazioni realmente accadute a bambini, detenuti, malati, anziani, LGBT, non vedenti, diversamente abili, senza tetto, extra-comunitari, che sono state fortemente discriminatorie per questi ultimi.
Pertanto, lo sforzo da compiere sarà proprio quello di immedesimarsi in un soggetto al quale sono stati violati i suoi dati personali che, quindi, potrebbe essere discriminato, potrebbe essere compromessa la sua reputazione, potrebbe subire una perdita finanziaria, un danno economico o sociale significativo.
