Qualcuno inizia la messa a norma privacy in azienda partendo dai possibili rischi connessi ai dati, altri, come noi, partono dalla stesura del Registro dei trattamenti.
L’approccio del Registro dei trattamenti è, per mia esperienza, più semplice e comprensibile.
Prima di tutto, che cos’è una valutazione di impatto?
Ricordiamoci lo scopo del Regolamento: la protezione delle persone fisiche, proteggendo i loro dati personali.
Stiamo parlando di rischi o, più estesamente, di potenziali conseguenze negative che una persona può subire a causa di una errata gestione dei suoi dati personali da parte nostra.
Il problema non è semplicemente la diffusione, ad esempio, di quattro dati personali, ma delle conseguenze sul piano fisico e giuridico di questa diffusione.
In molti punti del Regolamento si parla di rischi connessi al trattamento.
Questi rischi andrebbero valutati in base alla probabilità che un certo evento accada ed alla gravità delle conseguenze dell’evento stesso.
Vediamo di spiegarlo con un esempio.
Supponiamo di avere una sala nel seminterrato che contiene i dossier dei dipendenti. Questi dossier contengono copie uniche delle buste paga.
Nel caso la sala si allaghi a causa della rottura di un condotto dell’acqua, la distruzione dei dossier cartacei è praticamente certa.
Quale probabilità c’è di un allagamento?
Quale gravità costituisce la distruzione dei dossier per i dipendenti?
E quindi…
… come posso mitigare questo evento nel caso succeda?
Ad esempio, potrei utilizzare dei sensori di umidità.
Oppure potrei decidere di fare delle copie dei dossier e metterle altrove.
Le scelte possibili sono molteplici e, per il principio di Accountability, non è indicato dalla norma un modo standard di porvi rimedio.
Però esistono delle procedure scritte per la protezione dei dati aziendali in generale, o quelle più specifiche sui dati personali (come la ISO 27701).
Se vuoi una guida da seguire, per capire quali voci considerare senza inventare l’acqua calda, scrivimi a paolo@paoloromani
Vignetta di Paolo Tacconi – TAP
--> QUALE PERICOLI CORRE LA TUA AZIENDA?
Scoprilo con un semplice e veloce test, in piena autonomia, il livello di adeguamento alla privacy della tua azienda:
Fai il test
