Il concetto di Risk Appetite nell’ambito della normativa sul trattamento dei dati personali
Descrizione
Quando si affrontano valutazioni di adeguatezza o accettabilità di rischi, non si può prescindere dal considerare la propensione al rischio dei soggetti rispetto ai quali tale valutazione è effettuata. Con propensione al rischio (risk appetite) si intende il livello di rischio che un soggetto (organizzazione o persona fisica) è disposto ad accettare, in relazione ai potenziali vantaggi che deriveranno dall’accettazione del rischio stesso. Se per valutare l’accettabilità o l’adeguatezza dei rischi non si può prescindere dal concetto di propensione al rischio, allora ci dobbiamo chiedere come inquadrare questo concetto quando tali analisi sono fatte nell’ambito di quanto richiesto dal GDPR.
Questo documento si propone di fare una prima analisi del problema, individuandone le tematiche e criticità principali e i possibili sviluppi utili alle organizzazioni nelle loro attività.
Indice
- 1Introduzione
- 2Obiettivi del documento
- 3Il concetto di propensione al rischio (risk appetite) e il suo ruolo nell’accettazione del rischio
- 4Il contesto normativo di riferimento
- 5Il contesto aziendale di riferimento
- 6Il rischio nella prospettiva dell’interessato
- 7Profili di legittimità nell’applicazione del risk appetite al GDPR
- 8Coinvolgimento dei rappresentanti nel processo di valutazione degli impatti ai sensi dell’art. 35 GDPR e nelle altre normative (es. art. 4 dello Statuto dei Lavoratori)
- 9La valutazione dell’adeguatezza del rischio da parte dell’Autorità di controllo
- 10L’analisi statistica dei consensi per la valutazione della propensione al rischio
- 11Studi di caso
- 12Comunicazione «oggettiva» del rischio e dei benefici all’interessato (informative, consensi, notifiche data breach) 13. Evidenze da raccogliere e conservare in ottica di accountability
Domande chiave
- Cosa si intende per “risk appetite”? Qual è il ruolo di tale concetto nell’accettazione del rischio?
- La valutazione della propensione al rischio degli interessati è compatibile con i concetti di valutazione del rischio previsti dal GDPR?
- Come si può valutare/misurare efficacemente la propensione al rischio relativamente ai diritti e alle libertà dell’interessato?
- Quali sono le evidenze che è necessario raccogliere/conservare in logica di accountability, quando si utilizzi il concetto di risk appetite in una valutazione di accettabilità del rischio?
Siamo a tua disposizione per informazioni e assistenza
Eleonora Evstifeew
Acquisti e abbonamenti Da Lunedì al Venerdì, dalle 09 alle 18Antonella Zagheni
Assistenza abbonati Da Lunedì al Venerdì, dalle 09 alle 18Scopri altri contenuti di Cybersecurity & Data Protection