Altro aspetto del GDPR, la valutazione d’impatto del trattamento dei dati. Scarica gratuitamente il vademecum dell’ENISA.
Un altro aspetto non secondario del GDPR è l’Analisi d’impatto sui trattamenti dei dati, che non è solo un semplice concetto astratto. Infatti, sin dall’inizio del 2018, la valutazione dei possibili impatti provocati dai trattamenti compiuti sugli interessati ha suscitato un interessante dibattito: il regolamento definisce in modo generico alcuni fattori da tenere in considerazione per svolgere la valutazione, gettando nel panico le PMI, che con un processo strutturato di analisi dei rischi non hanno molta familiarità.
Per questo motivo, l’ENISA, Agenzia Europea per la Sicurezza delle Reti e delle Informazioni, ha pubblicato un Manuale sulla sicurezza per il trattamento dei dati personali (che puoi scaricare gratuitamente) rivolto alle PMI, fornendo finalmente un approccio pratico (e non eccessivamente oneroso) alla valutazione d’impatto, alla relativa analisi dei rischi e alle misure minime di sicurezza da gestire.
Per individuare gli elementi da analizzare, è necessario mettere in relazione le classi di trattamenti compiuti, le tipologie di dati personali trattati, le finalità, gli strumenti utilizzati per l’elaborazione, dove avvengono, le categorie di interessati coinvolti e, infine, la collocazione dei dati. In questo vademecum, l’analisi d’impatto viene considerata anche in relazione agli aspetti di disponibilità, integrità e riservatezza, impegnando una scala di classificazione che prevede un livello basso, uno medio, uno elevato e un ultimo livello molto elevato.
La valutazione delle probabilità è declinata secondo alcuni quesiti aggregati in quattro categorie principali di scenari: Reti e risorse tecniche, processi e procedure relazionati con il trattamento di dati personali, persone e organizzazioni implicate nei trattamenti, settore e portata dei trattamenti compiuti. Per ciascun quesito, la valutazione viene compiuta mediante l’impiego di una scala che prevede tre livelli di probabilità: basso, medio ed elevato. Infine, il livello di rischio viene calcolato dall’interazione del livello d’impatto con il livello di probabilità definiti.
Si tratta di una metodologia facile e comprensibile, commisurata alla disponibilità di risorse delle PMI. Anche se, secondo alcuni, risulta essere debole perché, nel caso si rilevasse un livello di rischio differente da quello basso, probabilmente il lavoro di “messa in sicurezza” dovrebbe essere un po’ più ampio e strutturato rispetto alle indicazioni fornite nel testo.
Inoltre, il primo step di lavoro, riferito al tracciamento delle relazioni tra gli elementi del contesto, avrebbe potuto essere oggetto di un lavoro maggiormente dettagliato e meglio strutturato. Considerando anche il fatto che è proprio il punto iniziale del lavoro sul quale alcune organizzazioni inciampano subito, perdendo per strada qualche pezzo importante.