Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Diritto civile
Privacy e Cybersecurity

Il principio del risk based approach

Redazione 12/02/21
Scarica PDF Stampa

Risk based approach: in cosa consiste

Questo contributo è stato tratto da 

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Scopri di più

Strettamente connesso al principio di accountability è quello del risk based approach.
Ai soggetti chiamati ad adeguarsi al rispetto della normativa privacy innovata e cristallizzata con l’emanazione del GDPR viene sostanzialmente chiesto di effettuare
una valutazione prodromica del livello di risk del trattamento medesimo, ovvero verificare quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori). Per meglio comprendere la ratio di tale principio, appare utile rivolgere un pratico sguardo al medesimo principio già applicato in materia di antiriciclaggio e contenuto nella normativa indirizzata a tutti gli operatori del settore finanziario, ovvero della normativa di recepimento della direttiva 2005/60/CE ed in particolare, del d.lgs. n. 231 del 21 novembre 2007. In pratica, viene chiesto ai citati operatori di graduare ed orientare i sistemi e le procedure interne degli intermediari valutando il “rischio di riciclaggio dei proventi di attività criminose o di finanziamento del terrorismo” da definire in funzione del tipo di cliente, rapporto continuativo, piuttosto che prodotto o transazione.
Le stesse procedure e gli stessi sistemi devono prevedere delle sezioni dedicate alla valutazione e gestione di tale tipologia di rischio. Si tratta dunque, in estrema
sintesi, di una misura, sia essa qualitativa o quantitativa, della probabilità di esposizione a fenomeni di riciclaggio o di finanziamento del terrorismo del cliente, rischio che deve tener conto non solo delle caratteristiche di quest’ultimo, ma anche della tipologia di operazioni/rapporti/prodotti/transazioni richieste. In altri termini, il risk in ambito finanziario viene utilizzato come parametro per determinare gli obblighi – di segnalazione alle autorità competenti, ad esempio – applicabili in capo agli intermediari e, dunque, consentire una graduazione della disciplina in funzione, appunto, della rischiosità del singolo cliente/operazione/rapporto.

 

Parimenti, il GDPR obbliga i titolari del trattamento a svolgere una valutazione di impatto – DPIA – prima di darvi inizio, consultando l’Autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti, cioè quando il rischio residuale per i diritti e le libertà degli interessati resti elevato. Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio. Le linee guida del WP29 offrono alcuni illuminanti chiarimenti sul punto; in particolare, precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento all’art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum. Le linee guida chiariscono, peraltro, anche quando una valutazione di impatto non sia richiesta: ciò vale, in particolare, per i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e non presentino modifiche significative prima del 25 maggio 2018, data di piena applicazione del Regolamento. Il messaggio finale delle linee guida (già sottoposte a consultazione pubblica) è che la valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l’altro fondamentale principio fissato nel regolamento 2016/679, ossi la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento. Il Gruppo di lavoro ha individuato alcuni casi di obbligatorietà della DPIA, precisando come l’elenco previsto dall’art. 35 del GDPR non deve essere interpretato come esaustivo e completo. Operazioni di trattamento definite “lowrisk”, infatti, potrebbero comunque comportare rischi altrettanto elevati in funzione della natura dei dati trattati o delle tecnologie adottate per il loro trattamento.
In considerazione di ciò, dunque, compito del titolare del trattamento, utilizzando caso per caso un “risk-based approach”, sarà quello (prima che i dati vengano trattati) di individuare, nello specifico, l’origine, la natura, la probabilità e la gravità del rischio, l’ambito di applicazione, il Una contesto e le finalità del trattamento stesso in quanto più è elevata la rischiosità del dato, più alte sono le conseguenze in termini d’impatto per gli interessati.

Gli elementi della DPIA

DPIA dovrà, quindi, tenere conto sia del grado di rischio che il trattamento possa presentare per i diritti e le libertà delle persone fisiche sia del grado di innovatività della tecnologia con cui viene effettuato il trattamento (tecnologie poco conosciute potrebbero infatti comportare rischi non ancora valutati e impatti potenziali elevati sugli interessati). Il titolare dovrà comprendere, per esempio, se si tratti di un dato più o meno rischioso (es. un dato “sensibile” in cui il rischio è già intrinseco), se questo sia o meno diffuso pubblicamente, se sia trattato unitamente ad altri dati (si pensi il caso della profilazione) o se sia comunicato ad un vasto numero di persone. Il documento del Gruppo di lavoro definisce non solo un elenco di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazione d’impatto debba ritenersi obbligatoria (quali, il trattamento di dati genetici o di salute dei pazienti in un ospedale, l’uso di un sistema di telecamere per monitorare il comportamento di guida in autostrada o, in materia di controllo a distanza dei lavoratori, le operazioni di monitoraggio effettuate dalla società sulle attività dei propri dipendenti inclusa la loro postazione di lavoro) ma individua criteri utili da seguire per tutte quelle operazioni di trattamento che richiedono una DPIA (per esempio l’assegnazione di un punteggio ad aspetti quali la situazione economica o la salute, il numero degli interessati, il volume di dati e l’eventuale trasferimento di dati al di fuori dell’Unione europea ecc.). L’art. 35 del GDPR prevede, inoltre, ipotesi di esonero dall’effettuazione della valutazione d’impatto. In particolare il Gruppo di lavoro, nell’interpretazione della norma, ha precisato come una DPIA non sia obbligatoria per tutte quelle operazioni in cui il trattamento non presenti un rischio elevato per l’interessato, sia già stato autorizzato, trovi nel diritto dell’Unione o dello Stato membro una base giuridica oppure quando, per la natura o finalità del trattamento, questo sia molto simile ad un altro trattamento per cui la DPIA è già stata effettuata.

Questo contributo è stato tratto da 

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

Scopri di più

Redazione

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche

Privacy e Cybersecurity
Privacy nelle palestre: un vademecum pratico
Giuseppe Alverone 19/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Diritto civile
Contratti
Convalida di sfratto è applicabile per comodato c.d. precario?
Giuseppe Bordolli 19/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
AI&Legaltech
Privacy e Cybersecurity
Garante Privacy: no al riconoscimento facciale dei lavoratori
Luisa Di Giacomo 18/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Diritto civile
Responsabilita e risarcimento
Responsabilità per danni provocati da cani randagi: si applica l’art. 2043 c.c.
Michele Allamprese 18/04/24
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;