Analisi dei rischi

 Analisi dei rischi

L'analisi dei rischi è sempre necessaria e va scritta.

L'analisi dei rischi viene svolta prima di avviare il trattamento.

Fine della analisi dei rischi è 1) verificare il trattamento e 2) valutare se è obbligatorio redigere anche una DPIA.

I criteri sono previsti per legge, ma sono molto ampi.

Seguono sintesi estratte dai Garanti Europei.


 ASSISTENZA
Prenota ora senza impegno con una email quanto serve per realizzare e documentare la tua analisi dei rischi. No newsletter, solo una risposta.


 CRITERI PER QUANTIFICARE IL RISCHIO
fonte: EDPS del 16.7.2019; v. anche Enisa

2) tratti dati personali sistematicamente per attribuire punti, profili, o predizioni:


3) il trattamento è alla base di una decisione automatizzata:


4) monitori sistematicamente in spazi pubblici o lo staff:


5) tratti dati sensibili a):


6) tratti dati in larga scala:


7) aggreghi dati raccolti per finalità diverse:


8) tratti dati di persone vulnerabili b):


9) usi trattamenti innovativi c):


10) escludi persone sulle base di dati personali (finanziamenti, espatrio, stato familiare:


i dati sono inviati via email a privacykit per finalità di studio, in forma anonima.

note

a) sub 5 sono dati sensibili: etnici,politici,religioni, filosofici, sindacali, dati genetici, biometrici, salute, sessuali, criminali

b) sub 8 sono vulnerabili: bambini, poveri, disabili;

c) sub 9 sono trattamenti innovativi: machine learning, smart cars, social media screening per lavoro, accessi tramite impronte digitali


 VALUTAZIONE
Se hai spuntato due o più scelte il trattamento è probabilmente a rischio e richiede anche DPIA; se non lo è devi argomentare più ampiamente. In ogni caso la motivazione va registrata, meglio nel registro dei trattamenti.

"Oltre alla sicurezza informatica ci si deve concentrare sulla protezione di persone, processi, operazioni e risorse anche non strategiche" - Nicola Vanin - Data Governance & Information Security Manager