Negli ultimi decenni, in tutte le norme e gli standard si è andato affermando l’approccio funzionale basato sul rischio (risk based approach) per individuare i requisiti di sicurezza (riservatezza, integrità, disponibilità) da rispettare per il corretto svolgimento delle attività.
Qualunque operazione di trattamento di dati, manuale o tramite strumenti informatici, comporta il rischio che non sia rispettato uno o più dei requisiti di sicurezza (riservatezza, integrità, disponibilità).
L’incidente generato da un’azione accidentale o intenzionale, che sia stata eseguita dall’interno o dall’esterno dell’organizzazione, configura un danno, transitorio o permanente, alla continuità operativa, ai sistemi utilizzati e ai dati con essi trattati, con eventuale impatto via via crescente sui diritti e le libertà delle persone fisiche.
Anche il Regolamento UE 2016/69 sulla protezione dei dati, come altre norme e standard internazionali, segue l’approccio funzionale basato sul rischio, inteso come probabilità che accada un evento capace di causare un danno, per individuare e mettere in campo le misure tecniche, organizzative e operative in grado di contrastare le minacce e minimizzare i danni, misure adeguate al livello di rischio valutato, come riportato all’art.31.1 “Sicurezza del trattamento” del GDPR.
L’analisi del rischio è inoltre una parte essenziale per elaborare la “Valutazione d’impatto sulla protezione dei dati”, come richiesto all’art. 35 del GDPR.