Estratto da La privacy al centro: come costruire un percorso efficace con il cliente, di AMEDEO LEONE (Themis Edizioni, 2024)
L’accountability implica una responsabilizzazione per il titolare del trattamento, che è chiamato a mettere in atto tutte le misure tecniche e organizzative per essere conforme alla normativa privacy. In tal senso, la valutazione del rischio costituisce un’attività indispensabile e utile allo scopo. Essa, infatti, determina la portata della responsabilità del titolare del trattamento o del responsabile del trattamento, tenendo conto della natura, dell'ambito, delle circostanze e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti (Saetta, 2018).
Un’attività strategica volta a corroborare il principio di accountability è l’analisi del rischio, inerente al lato privacy o protezione del dato, che va inteso come uno strumento da attuare su permanente, ma contestualizzandolo e aggiornandolo di volta in volta rispetto a situazioni sempre più dinamiche e in continua evoluzione. In questo modo viene anche assicurata anche la trasparenza delle organizzazioni che, seguendo questo approccio, possono valutare proattivamente i rischi derivanti dall'introduzione di prodotti e servizi, oltre che protocolli durante le fasi di ricerca, implementazione, sviluppo e modifica dei protocolli stessi.
L’approccio basato sul rischio (risk-based approach) trova spazio in diverse normative sul digitale, a partire dalla stessa Unione europea, e non solo riguardo al GDPR. Va, infatti, ricordato come tale approccio sia evidente anche nel Digital Service Act (DSA) e nell’AI Act (De Gregorio et al., 2022).
In materia di privacy, l’analisi del rischio costituisce un processo di autovalutazione (Zanellati, 2020) sulla base del quale si definisce la valutazione dell’impatto della protezione dei dati, che è uno degli strumenti chiave per valutare i fattori di rischio e il ruolo che svolgono nei modelli di business e su cui si concentra l’adozione delle decisioni più appropriate per proteggere dati e profitti. I cambiamenti legislativi e tecnologici sono quindi soggetti alla massima cautela.
L’attività di analisi del rischio è strettamente legata ai concetti di privacy by design e privacy by default, considerato che essa deve essere effettuata prima dell’inizio del trattamento. Inoltre, sempre in linea con il principio dell’accountability, oltre all’analisi dell’esposizione al rischio dei dati personali trattati (risk assessment), è altresì necessario prevedere un monitoraggio continuo volto a verificare, tra le altre cose, l’effettivo stato di implementazione delle misure di sicurezza e la loro efficacia (Mastropierro, 2020).
Valutare i rischi del trattamento in fase di progettazione richiede uno sforzo significativo per i titolari del trattamento, poiché potrebbe essere necessario implementare alcune procedure molto prima dell’entrata in vigore delle normative. Inoltre, i responsabili del trattamento devono essere consapevoli della corretta struttura dei dati e della loro veridicità. Pertanto, un buon consulente dovrebbe essere paziente nei rapporti con i clienti e analizzare caso per caso ogni singola situazione che si presenta. L’analisi dei rischi legati alla compliance è di per sé necessaria ed essenziale per comprendere quali misure siano appropriate e rilevanti per il singolo trattamento che deve essere implementato ed efficace.
È quindi necessario adottare un approccio flessibile alla protezione dei dati, per adattarsi all’evoluzione dei sistemi aziendali e ai costumi sociali dei tempi. Questo importante concetto costituisce l’essenza del GDPR, ed è fondamentale per un approccio ragionato di valutazione del rischio fin dalle prime analisi consulenziali.
Estratto da La privacy al centro: come costruire un percorso efficace con il cliente, di AMEDEO LEONE (Themis Edizioni, 2024).
Ordina a questo link: https://tabook.it/prodotto/privacy-al-centro-la/
Disponibile nei maggiori store online.
