Il rischio è un concetto importante nel GDPR^[1]. Il punto di vista presentato secondo cui la protezione dei dati riguarda la correzione dello squilibrio di potere tra il Titolare del trattamento e l’interessato chiarisce anche la nozione di rischio:

Il rischio principale è che l’elaborazione dei dati personali si traduca effettivamente in uno squilibrio di potere che limita i diritti e le libertà degli individui interessati. Da questo punto di vista, diventa chiaro che il rischio non è che si verifichi qualche evento indesiderato (come un attacco o un disastro naturale), ma piuttosto che il Titolare del trattamento eserciti un potere eccessivo sugli interessati.

Si noti che questa comprensione del rischio è molto diversa dal rischio nella sicurezza informatica. Lì, il Titolare del trattamento è tipicamente visto come il “buono” che si difende da “attacchi” prevalentemente esterni. Nella protezione dei dati, invece, il comportamento del Titolare del trattamento, cioè l’attività di trattamento, è la fonte del rischio. La probabilità che questo accada è del 100%. A differenza della cybersecurity, i Titolari del trattamento devono ora proteggere l’interessato più debole dal rischio derivante dal loro stesso trattamento. I Titolari del trattamento non sono più automaticamente i “buoni”, ma devono fare sforzi espliciti per non diventare essi stessi cattivi.

Per le persone che hanno per lo più familiarità con la cybersecurity, comprendere la protezione dei dati può richiedere un cambiamento di prospettiva mentale significativo. Comprendere questa differenza è un pre-requisito per essere in grado di rispettare il GDPR. Per ulteriori letture consigliamo un articolo^[2] su otto diversi tipi di rischio.

 

 

1. Vedi per esempio l’art. 24(1), 35(1) e iConsiderando 75 e 84. ↑
2. Martin Rost, Rischi nel contesto della protezione dei dati, http://www.maroki.de/pub/privacy/Rost_Martin_2019-02_Risk:_8types_v1.pdf (ultima visita 8/5/2020). ↑