Individuare le misure tecniche e organizzative adeguate implementando un piano di trattamento del rischio (Risk Treatment Plan)
L’individuazione delle misure tecniche e organizzative adeguate richiesta dall’art. 32 del GDPR, è un’attività che necessita di una metodologia chiara e definita a priori, poiché non sono previste liste di misure “minime”.
Il software per la compliance GDPR GoPrivacy, dispone di diversi moduli di valutazione dei rischi, tarati sulle differenti dimensioni del soggetto Titolare o Responsabile del trattamento che si appresta ad eseguirla.
Parleremo in questo articolo del modulo di Analisi dei Rischi Privacy basato sulle norme internazionali ISO 31000:2018, ISO/IEC 27001:2013, ISO/IEC 29151:2017; ISO 27701:2019, ENISA, studiato appositamente per le grandi imprese e gli enti pubblici, ma utilizzabile anche da piccole medie imprese che svolgono numerosi trattamenti o trattamenti con un profilo di rischio potenzialmente elevato.
Attraverso questo modulo di GoPrivacy è possibile svolgere una valutazione dei rischi che prende in considerazione:
- Trattamenti: collegati dinamicamente con il Registro delle attività di trattamento;
- Asset aziendali: strumenti utilizzati dal Titolare / Responsabile per svolgere i trattamenti, attraverso cui i dati transitano (o vengono conservati);
- Minacce: che possono creare un problema di sicurezza sugli Asset, per le quali viene calcolato un livello di Impatto e Probabilità;
- Contromisure: misure tecniche e organizzative che possono essere abbinate alle minacce per abbattere (mitigare) i livelli di Impatto e Probabilità definiti.
Valutazione dei rischi
Il risultato ottenuto consisterà in tre differenti valori di livello di Rischio per i diritti e le libertà delle persone fisiche relativamente al trattamento di dati personali:
- Rischio Intrinseco (o Rischio Potenziale): rischio connesso ad un trattamento in assenza di misure applicate;
- Rischio Attuale (o Rischio Residuo Attuale): rischio connesso ad un trattamento considerando le misure individuate al momento della valutazione e la relativa capacità di attuazione delle stesse;
Grazie a questo risultato, è possibile conoscere il livello di rischio dei trattamenti nelle condizioni attuali, sui cui si potrà intervenire per correggere le situazioni che superano il limite di tollerabilità del rischio.
- Rischio Futuro (o Rischio Residuo Futuro): rischio connesso ad un trattamento considerando anche i piani di trattamento (Risk Treatment Plan), in merito alla volontà dichiarata di applicare altre misure o di migliorare l’applicazione di quelle già implementate.
Proprio quest’ultimo livello di rischio offre la possibilità di valutare l’efficacia e l’adeguatezza delle misure di sicurezza tecniche e organizzative che si deciderà di implementare nei periodi successivi al completamento della valutazione.
In conclusione, GoPrivacy offre inoltre un metodo di valutazione dei rischi ideale per le piccole e medie imprese.