In occasione del Data Protection Day 2020, il 28 gennaio, la European Union Agency For Cybersecurity (ENISA) ha lanciato una piattaforma online volta a fornire uno strumento a supporto delle organizzazioni pubbliche e private nel percorso di implementazione del GDPR in tema di privacy by design e sicurezza del trattamento dei dati personali, suggerendo a tal fine l’adozione di un “risk-based approach”.
L’iniziativa si pone a valle di una serie di attività promosse dall’Agenzia dell’UE per la sicurezza informatica nel corso degli ultimi anni e, in particolare, riprende lo stesso approccio basato sul rischio proposto dalla stessa nelle linee guida pubblicate nel 2018, trasponendo nella piattaforma la suddivisione in fasi prospettata in linea teorica nelle suddette linee guida e predisponendo un elenco di misure di sicurezza ritenute adeguate al rischio presentato. Tale strumento peraltro si costituisce non soltanto come mezzo di valutazione del livello di rischio per la sicurezza, ma altresì quale valido supporto nell’attività di autovalutazione della sicurezza, fornendo quindi, a tale ulteriore scopo, un meccanismo di controllo supplementare in relazione alle misure adottate da una società rispetto al livello di rischio percepito o identificato.
L’approccio dell’ENISA può essere vantaggioso soltanto per quelle società già consapevoli dell’importanza del tema della sicurezza dei dati personali all’interno dei propri sistemi di gestione aziendali, integrandosi quindi in un più ampio contesto di effettiva conformità e responsabilità per la protezione dei dati personali. La piattaforma online dell’ENISA è esplicitamente incentrata sulla sicurezza del trattamento dei dati personali e non costituisce pertanto uno strumento di valutazione dell’impatto sulla protezione dei dati (c.d. “DPIA” – Data Protection Impact Assessment), che è di natura più ampia. Tuttavia, è senz’altro possibile utilizzare l’output della piattaforma ENISA nel contesto di una DPIA, con riferimento agli aspetti inerenti la sicurezza del trattamento dei dati personali.
Da ultimo, nella relazione di accompagnamento alla piattaforma, l’ENISA rimarca l’importanza di un aggiornamento costante in tema di nuove minacce alla sicurezza dei dati personali, invitando a tal proposito sia i privati che gli enti pubblici a continuare a lavorare sull’elaborazione di casi d’uso ed esempi di best practice per fornire soluzioni tecniche alle crescenti minacce alla sicurezza in diversi settori, nonché a promuovere soluzioni che spingano nella direzione della standardizzazione e di una sempre più consistente sinergia tra i diversi quadri di certificazione nel settore.
Autore: DLA Piper
