Valutazione dei rischi o comprensione degli impatti? La giusta rilevanza della DPIA
2024-2-6 23:31:39 Author: www.cybersecurity360.it(查看原文) 阅读量:7 收藏

DATA PROTECTION

La valutazione dei rischi e la comprensione degli impatti sui diritti e le libertà fondamentali delle persone sono due elementi apparentemente sequenziali ma che, invece, devono essere considerati interconnessi e interdipendenti. Comprenderlo può guidare verso un approccio più equilibrato e completo alla gestione dei rischi per i diritti fondamentali nonché all’applicazione dei sistemi di intelligenza artificiale ai processi di valutazione

Pubblicato il 06 Feb 2024

In un precedente articolo è stato evidenziato come il trattamento di dati personali costituisca un pericolo, i.e. una sorgente di danno, e che conseguentemente ogni esposizione a tale pericolo – i.e. ogni avvio di un processo di elaborazione di dati personali – determina un rischio per i diritti e le libertà fondamentali.

Tutto l’ecosistema della data protection è quindi caratterizzato da un approccio basato sul rischio e sulla sua continua valutazione.

Poiché tale valutazione poggia sulla comprensione degli impatti e sulla individuazione delle verosimili minacce, di seguito sarà esaminata l’interconnessione tra rischi e impatti nella protezione dei dati.

Data privacy day, la protezione dei dati nell’era dell’AI: sfide, rischi e soluzioni di mitigazione

Valutazione dei rischi e comprensione degli impatti potenziali

I Garanti europei, nelle Linee Guida WP248 rev.01, hanno definito:

  1. il “rischio” come uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità;
  2. la “gestione dei rischi”, invece, come l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi.

Quindi, per una corretta gestione dei rischi per i diritti e le libertà delle persone fisiche, gli stessi rischi devono essere regolarmente:

Cosa si può chiedere a ChatGPT? Scarica la guida 2023: consigli per l’uso, esempi ed opinioni

  1. individuati,
  2. analizzati,
  3. stimati,
  4. valutati,
  5. trattati (i.e. mitigati, attenuati),
  6. riesaminati.

In tale quadro, la valutazione dei rischi e la conoscenza e comprensione degli impatti potenziali sono due elementi fondamentali della gestione del rischio. Entrambi costituiscono anche momenti essenziali del processo che il GDPR pone, o meglio impone al titolare del trattamento di eseguire per garantire e dimostrare la compliance delle attività di trattamento dei dati personali: la DPIA.

La DPIA naturale contesto di valutazione dei rischi e comprensione degli impatti

Per comprendere la rilevanza della DPIA occorre partire dal Considerando 89 del GDPR che pone le basi per comprendere l’essenza del processo di valutazione di impatto.

Tale Considerando, tra l’altro, così motiva e giustifica testualmente l’abolizione dell’ obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali introdotto dalla precedente direttiva 95/46/CE: “È pertanto opportuno abolire tali obblighi generali e indiscriminati di notifica e sostituirli con meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità”.

È da notare che lo stesso Considerando 89 non fa riferimento a trattamenti che “presentano un rischio elevato” ma precisamente a trattamenti che “potenzialmente presentano un rischio elevato”.

In linea con l’indicazione del Considerando 89, il Considerando 84 sancisce che: “per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio”.

Vengono prima i rischi o gli impatti?

Ora, dal punto di vista operativo, anche nello sviluppo di una DPIA, vengono prima i rischi per i diritti e le libertà degli interessati o gli impatti potenziali?

La domanda potrebbe apparire banale e intuitivamente verrebbe da rispondere che l’impatto segue sempre una valutazione di un rischio che in concreto – passando dalla potenza all’atto – si è trasformato in un danno fisico, materiale o immateriale.

Eppure, la domanda non è così banale, se si considera che per eseguire una corretta “valutazione dei rischi”, occorre comparare i processi aziendali esposti a sorgenti di danno con una tassonomia di potenziali impatti e di verosimili minacce.

Queste tassonomie sono contenute in alcune Best Practice (e.g. ISO 29134:2017) ma possono anche derivare da casistiche e statistiche di esperienze concrete i.e. dalle cc.dd. lesson learned.

Ed ecco che in questa prospettiva la casistica/statistica di impatti appare strumentale e non è più sequenziale ma diventa addirittura prodromica alla valutazione del rischio.

L’importanza delle lezioni apprese

Con l’argomentazione precedente si è cercato di evidenziare come le lezioni apprese dalle esperienze passate e dalle situazioni di rischio possano alimentare e rafforzare i processi di gestione del rischio.

Così, analizzando gli impatti delle situazioni di rischio precedenti, le organizzazioni possono identificare le aree di vulnerabilità e migliorare i loro approcci di gestione del rischio per prevenire futuri incidenti.

Quindi senza pregresse esperienze di danni non possiamo valutare efficacemente i rischi. D’altra parte. cosa sono gli impatti e le minacce riportati nelle casistiche/statistiche se non pattern che ci aiutano a fare previsioni?

Machine Learning e valutazione dei rischi

L’applicazione del Machine Learning alla valutazione dei rischi privacy offre un nuovo approccio per affrontare le sfide legate alla valutazione dei rischi e degli impatti.

Gli algoritmi di Machine Learning possono analizzare grandi quantità di dati per identificare pattern che potrebbero indicare potenziali impatti, minacce o vulnerabilità.

In tal modo il Machine Learning può essere utilizzato per predire impatti futuri in base alle tendenze storiche e alle informazioni disponibili.

Conclusioni

Richiamando alla mente il paradosso causale della domanda: “È nato prima l’uovo o la gallina?”, abbiamo cercato di evidenziare la necessità di gestire i rischi all’interno di un’organizzazione adottando un approccio equilibrato che integra valutazione dei rischi, comprensione degli impatti potenziali e individuazione delle verosimili minacce.

Si crea, così, un contesto in cui l’applicazione del Machine Learning può svolgere un ruolo significativo nel fornire insights e previsioni per supportare le valutazioni, tenendo in sicurezza l’organizzazione.

Dall’AI TRiSM all’Intelligent Communication: esplora i 6 nuovi IT trend del 2024

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/legal/privacy-dati-personali/valutazione-dei-rischi-o-comprensione-degli-impatti-la-giusta-rilevanza-della-dpia/
如有侵权请联系:admin#unsafe.sh