Il trasferimento del rischio applicato al GDPR e il ruolo del DPO

Una delle opzioni per il trattamento del rischio è quella del suo trasferimento in tutto o in parte ad un altro soggetto, come ad esempio le assicurazioni o i responsabili del trattamento. In questo articolo sono riportate alcune considerazioni generali in merito al trasferimento del rischio, per poi approfondire l’aspetto relativo al coinvolgimento delle assicurazioni, dei fornitori – responsabili del trattamento e dei contitolari. Da ultimo, si accenna al ruolo del Data Protection Officer (DPO).

Il trasferimento del rischio - Trasferire un rischio equivale, al pari di altre misure, al trattamento del rischio, come lo sono la rimozione della fonte che lo genera, la riduzione della probabilità o della gravità; il trasferimento è una forma di trattamento del rischio che implica la presenza di una terza parte disposto ad accettarlo.

Tale terza parte può essere: un fornitore - nel ruolo di responsabile se tratta dati personali, un contitolare del trattamento, un’assicurazione.

Il trasferimento del rischio non garantisce che l’organizzazione non abbia a patire conseguenze, sia pure indirette. Ad esempio un furto di dati, anche se risarcito dall’assicurazione o se avvenuto presso un fornitore, impegnato contrattualmente a risarcire i danni, può impattare sull’immagine dell’organizzazione stessa. Può infatti intaccarne la reputazione, facendo quindi perdere clienti o potenziali clienti o ancora causarne una perdita di attrattività nei confronti dei potenziali collaboratori, che potrebbero scegliere organizzazioni più o “apparentemente più” strutturate.

Ancora, se da un lato un’assicurazione può risarcire in tutto o in parte una richiesta di danni proveniente da un interessato o da un ente di rappresentanza dell’interessato (come previsto dall’art. 80 “Rappresentanza degli interessati”), essa non potrà mai contribuire, in alcun modo, a ridurre la portata di tale evento, in termini di richiesta di ispezione da parte degli organismi deputati al controllo, o anche eventuali sanzioni di tipo penale.

Luci ed ombre dell'operazione

In altri termini il trasferimento del rischio è un’operazione di trattamento, ma presenta luci ed ombre; quindi sarebbe più corretto utilizzare il temine “condivisione del rischio” ed essere consapevoli che il rischio non può mai essere completamente trasferito ad una terza parte, ma solo condiviso.

La condivisione del rischio è citata anche dalla UNI ISO 31000:2018 “Gestione del rischio - Linee guida” nel paragrafo 6.5.2 “Scelta delle opzioni di trattamento del rischio” quando individua tra le opzioni possibili anche“…condividere il rischio (ad esempi tramite contratti; stipulando una assicurazione)”.

Ovviamente, chi accetta di condividere il rischio deve anche accettare che si presenti l’evento/gli eventi che comportano una condizione di vulnerabilità, ma lo fa solo per una parte delle eventuali conseguenze. Per alcune situazioni, tale accettazione si concretizza solo dopo che siano state mese in atto tutte le misure preventive ragionevolmente applicabili. Ad esempio, un ospedale non può limitarsi a trasferire ad un’assicurazione il rischio dell’incendio dei server che contengono le terapie da somministrare ai pazienti.

Deve definire, applicare e testare, ad intervalli, un piano di business continuity ed “anche” assicurarsi contro il rischio incendio.

E' possibile proseguire la lettura di questa interessante trattazione di Monica Perego -  Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy - a questo link.