Il Garante privacy, ha pubblicato un tutorial che agevola il titolare del trattamento dei dati ad individuare e gestire il rischio durante la valutazione d’impatto.

Per prima cosa viene fornita una definizione di rischio. Questo deve essere inteso come lo scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità per i diritti e le libertà dell’interessato.

Gli elementi che devono essere considerati durante l’individuazione del rischio sono: l’origine, la natura, la gravità, la probabilità e l’impatto che lo stesso può avere sui diritti e le libertà dell’interessato.

Secondo il Garante però non si deve confondere la gestione del rischio con il tema delle misure di sicurezza. Inoltre il rischio non si riferisce al titolare del trattamento ma al soggetto interessato.

Gli aspetti che riguardano la sicurezza del trattamento dei dati sono: la disponibilità (distruzione, indisponibilità e perdita); l’integrità (alterazione) e la riservatezza (divulgazione e accesso).

Gli effetti che il trattamento intende evitare sono: il danno per la reputazione, la discriminazione, il furto d’identità, le perdite finanziarie, i danni fisici o psicologici, la perdita di controllo dei dati, altri svantaggi economici o sociali e l’impossibilità di esercitare diritti, servizi o opportunità.

Infine il Garante individua le misure per la gestione del rischio (c.d. accountability o responsabilizzazione del titolare del trattamento nelle seguenti: la qualità dei dati, la cifratura, la conservazione adeguata, l’anonimizzazione dei dati e la minimizzazione. Sono poi previste misure tecnologiche (policy di sicurezza logiche e fisiche, aggiornamenti servizi e software, test, controllo accessi e tracciamento operazioni) e misure organizzative (ruoli, governance, istruzioni, formazione, procedure, audit, strumenti di controllo per gli interessati, contatti).