Individuare le misure tecniche e organizzative adeguate implementando un piano di trattamento del rischio (Risk Treatment Plan)

L’individuazione delle misure tecniche e organizzative adeguate richiesta dall’art. 32 del GDPR, è un’attività che necessita di una metodologia chiara e definita a priori, poiché non sono previste liste di misure “minime”.
Il software per la compliance GDPR GoPrivacy, dispone di diversi moduli di valutazione dei rischi, tarati sulle differenti dimensioni del soggetto Titolare o Responsabile del trattamento che si appresta ad eseguirla.

Parleremo in questo articolo del modulo di Analisi dei Rischi Privacy basato sulle norme internazionali ISO 31000:2018, ISO/IEC 27001:2013, ISO/IEC 29151:2017; ISO 27701:2019, ENISA, studiato appositamente per le grandi imprese e gli enti pubblici, ma utilizzabile anche da piccole medie imprese che svolgono numerosi trattamenti o trattamenti con un profilo di rischio potenzialmente elevato.

Attraverso questo modulo di GoPrivacy è possibile svolgere una valutazione dei rischi che prende in considerazione:

  • Trattamenti: collegati dinamicamente con il Registro delle attività di trattamento;
  • Asset aziendali: strumenti utilizzati dal Titolare / Responsabile per svolgere i trattamenti, attraverso cui i dati transitano (o vengono conservati);
  • Minacce: che possono creare un problema di sicurezza sugli Asset, per le quali viene calcolato un livello di Impatto e Probabilità;
  • Contromisure: misure tecniche e organizzative che possono essere abbinate alle minacce per abbattere (mitigare) i livelli di Impatto e Probabilità definiti. 

Valutazione dei rischi

Il risultato ottenuto consisterà in tre differenti valori di livello di Rischio per i diritti e le libertà delle persone fisiche relativamente al trattamento di dati personali:

  • Rischio Intrinseco (o Rischio Potenziale): rischio connesso ad un trattamento in assenza di misure applicate;
  • Rischio Attuale (o Rischio Residuo Attuale): rischio connesso ad un trattamento considerando le misure individuate al momento della valutazione e la relativa capacità di attuazione delle stesse;

Grazie a questo risultato, è possibile conoscere il livello di rischio dei trattamenti nelle condizioni attuali, sui cui si potrà intervenire per correggere le situazioni che superano il limite di tollerabilità del rischio.  

  • Rischio Futuro (o Rischio Residuo Futuro): rischio connesso ad un trattamento considerando anche i piani di trattamento (Risk Treatment Plan), in merito alla volontà dichiarata di applicare altre misure o di migliorare l’applicazione di quelle già implementate.

Proprio quest’ultimo livello di rischio offre la possibilità di valutare l’efficacia e l’adeguatezza delle misure di sicurezza tecniche e organizzative che si deciderà di implementare nei periodi successivi al completamento della valutazione.

In conclusione, GoPrivacy offre inoltre un metodo di valutazione dei rischi ideale per le piccole e medie imprese.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.