Report

Icon

Il concetto di Risk Appetite nell’ambito della normativa sul trattamento dei dati personali

FREE

Per accedere a tutte le pubblicazioni abbonati

Informazioni

Risponde a...

  • Cosa si intende per “risk appetite”? Qual è il ruolo di tale concetto nell’accettazione del rischio?
  • La valutazione della propensione al rischio degli interessati è compatibile con i concetti di valutazione del rischio previsti dal GDPR?
  • Come si può valutare/misurare efficacemente la propensione al rischio relativamente ai diritti e alle libertà dell’interessato?
  • Quali sono le evidenze che è necessario raccogliere/conservare in logica di accountability, quando si utilizzi il concetto di risk appetite in una valutazione di accettabilità del rischio?

Descrizione

Quando si affrontano valutazioni di adeguatezza o accettabilità di rischi, non si può prescindere dal considerare la propensione al rischio dei soggetti rispetto ai quali tale valutazione è effettuata. Con propensione al rischio (risk appetite) si intende il livello di rischio che un soggetto (organizzazione o persona fisica) è disposto ad accettare, in relazione ai potenziali vantaggi che deriveranno dall’accettazione del rischio stesso. Se per valutare l’accettabilità o l’adeguatezza dei rischi non si può prescindere dal concetto di propensione al rischio, allora ci dobbiamo chiedere come inquadrare questo concetto quando tali analisi sono fatte nell’ambito di quanto richiesto dal GDPR.
Questo documento si propone di fare una prima analisi del problema, individuandone le tematiche e criticità principali e i possibili sviluppi utili alle organizzazioni nelle loro attività.

Indice

  1. Introduzione
  2. Obiettivi del documento
  3. Il concetto di propensione al rischio (risk appetite) e il suo ruolo nell’accettazione del rischio
  4. Il contesto normativo di riferimento
  5. Il contesto aziendale di riferimento
  6. Il rischio nella prospettiva dell’interessato
  7. Profili di legittimità nell’applicazione del risk appetite al GDPR
  8. Coinvolgimento dei rappresentanti nel processo di valutazione degli impatti ai sensi dell’art. 35 GDPR e nelle altre normative (es. art. 4 dello Statuto dei Lavoratori)
  9. La valutazione dell’adeguatezza del rischio da parte dell’Autorità di controllo
  10. L’analisi statistica dei consensi per la valutazione della propensione al rischio
  11. Studi di caso
  12. Comunicazione «oggettiva» del rischio e dei benefici all’interessato (informative, consensi, notifiche data breach) 13. Evidenze da raccogliere e conservare in ottica di accountability