Valutazione dei rischi con GoPrivacy: Valori di Rischio Intrinseco, Attuale e Futuro

Individuare le misure tecniche e organizzative adeguate implementando un piano di trattamento del rischio (Risk Treatment Plan)

L’individuazione delle misure tecniche e organizzative adeguate richiesta dall’art. 32 del GDPR, è un’attività che necessita di una metodologia chiara e definita a priori, poiché non sono previste liste di misure “minime”.
Il software per la compliance GDPR GoPrivacy, dispone di diversi moduli di valutazione dei rischi, tarati sulle differenti dimensioni del soggetto Titolare o Responsabile del trattamento che si appresta ad eseguirla.

Parleremo in questo articolo del modulo di Analisi dei Rischi Privacy basato sulle norme internazionali ISO 31000:2018, ISO/IEC 27001:2013, ISO/IEC 29151:2017; ISO 27701:2019, ENISA, studiato appositamente per le grandi imprese e gli enti pubblici, ma utilizzabile anche da piccole medie imprese che svolgono numerosi trattamenti o trattamenti con un profilo di rischio potenzialmente elevato.

Attraverso questo modulo di GoPrivacy è possibile svolgere una valutazione dei rischi che prende in considerazione:

  • Trattamenti: collegati dinamicamente con il Registro delle attività di trattamento;
  • Asset aziendali: strumenti utilizzati dal Titolare / Responsabile per svolgere i trattamenti, attraverso cui i dati transitano (o vengono conservati);
  • Minacce: che possono creare un problema di sicurezza sugli Asset, per le quali viene calcolato un livello di Impatto e Probabilità;
  • Contromisure: misure tecniche e organizzative che possono essere abbinate alle minacce per abbattere (mitigare) i livelli di Impatto e Probabilità definiti. 

Valutazione dei rischi

Il risultato ottenuto consisterà in tre differenti valori di livello di Rischio per i diritti e le libertà delle persone fisiche relativamente al trattamento di dati personali:

  • Rischio Intrinseco (o Rischio Potenziale): rischio connesso ad un trattamento in assenza di misure applicate;
  • Rischio Attuale (o Rischio Residuo Attuale): rischio connesso ad un trattamento considerando le misure individuate al momento della valutazione e la relativa capacità di attuazione delle stesse;

Grazie a questo risultato, è possibile conoscere il livello di rischio dei trattamenti nelle condizioni attuali, sui cui si potrà intervenire per correggere le situazioni che superano il limite di tollerabilità del rischio.  

  • Rischio Futuro (o Rischio Residuo Futuro): rischio connesso ad un trattamento considerando anche i piani di trattamento (Risk Treatment Plan), in merito alla volontà dichiarata di applicare altre misure o di migliorare l’applicazione di quelle già implementate.

Proprio quest’ultimo livello di rischio offre la possibilità di valutare l’efficacia e l’adeguatezza delle misure di sicurezza tecniche e organizzative che si deciderà di implementare nei periodi successivi al completamento della valutazione.

In conclusione, GoPrivacy offre inoltre un metodo di valutazione dei rischi ideale per le piccole e medie imprese.

Condividi su linkedin
Condividi su twitter
Condividi su email