Di cosa si tratta?
Trattasi di rischi legati a comportamenti dolosi o colposi da parte di soggetti interni all’organizzazione, come dipendenti, collaboratori, amministratori.
E’ obbligatoria?
Si è un obbligo implicito ma concreto nel processo di valutazione del rischio previsto dal GDPR .
Dunque, è obbligatoria nel contesto della normativa sulla protezione dei dati personali, in particolare secondo il Regolamento (UE) 2016/679 (GDPR).
Perché occorre redigere questo documento?
Secondo l’art. 32 del GDPR, il titolare e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento.
Questo include:
1)La valutazione dei rischi che possono compromettere la riservatezza, integrità e disponibilità dei dati;
2)Minacce interne, come:
o accessi non autorizzati da parte di dipendenti;
o uso improprio dei dati;
o errori umani sistematici;
o manomissioni intenzionali o involontarie.
2) Fonti e indicazioni di supporto
• L’art. 83 del GDPR afferma che il titolare del trattamento dovrebbe valutare i rischi derivanti da perdita, modifica, divulgazione non autorizzata o accesso ai dati personali.
• Le Linee guida dell’ENISA (Agenzia europea per la sicurezza delle reti e dell’informazione) e quelle del Garante per la protezione dei dati personali italiano sottolineano l’importanza
di tenere in considerazione le minacce interne, non solo quelle esterne.
• In ambito pubblico, anche i riferimenti AGID (come il Modello di rischio per la sicurezza ICT) includono esplicitamente le minacce interne.
A disposizione per eventuali chiarimenti e consulenze.