Modello in formato Word .doc disponibile su www.riskhub.it/modelli
Valutazione del rischio GDPR - Normativa sulla protezione dei dati personali - effettuata con RiskHub
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Valutazione del rischio GDPR (r01 gen 19)
1. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 1 di 25
VALUTAZIONE DEL RISCHIO
SULLA PROTEZIONE DEI DATI
PERSONALI (GDPR)
Nome Società
2. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 2 di 25
INDICE
1. VERSIONE DOCUMENTO........................................................................................................................... 2
2. SCOPO E AMBITO DI APPLICAZIONE ........................................................................................................ 2
3. RIFERIMENTI E ALLEGATI.......................................................................................................................... 3
4. AGGIORNAMENTO CONTINUO E RIESAME PERIODICO .......................................................................... 3
5. VALUTAZIONE DEL RISCHIO...................................................................................................................... 5
5.1. Valutazione di impatto sugli interessati............................................................................................ 5
5.2. Identificazione dei rischi GDPR .......................................................................................................... 8
5.3. Valutazione della probabilita’ iniziale ............................................................................................. 10
5.4. Valutazione del rischio inerente (o iniziale)..................................................................................... 10
5.5. Registro dei rischi inerenti ............................................................................................................... 11
5.6. Identificazione dei controlli GDPR ................................................................................................... 14
5.7. Valutazione di efficacia dei controlli................................................................................................ 20
5.8. Valutazione del rischio residuo (o finale)......................................................................................... 21
5.9. Registro dei rischi residui................................................................................................................. 23
1. VERSIONE DOCUMENTO
Data Rev. Descrizione
Data
Versione
documento
Descrizione
2. SCOPO E AMBITO DI APPLICAZIONE
Il presente documento ha lo scopo di disciplinare gli obblighi in capo alla Società Nome Società derivanti dal
Regolamento UE 2016/679 e dalla normativa nazionale (D.lgs. 196/2003 aggiornato a seguito del D.lgs.
101/2018) con riferimento alla raccolta e al trattamento dei dati personali.
Più nello specifico, il documento illustra le considerazioni logico-matematiche che hanno accompagnato le
fasi di identificazione, valutazione e risposta a tutti i rischi rilevanti sul trattamento di dati personali da parte
della Società durante i propri processi aziendali.
3. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 3 di 25
3. RIFERIMENTI E ALLEGATI
• RiskHub: la valutazione e i calcoli connessi sono stati effettuati con il software RiskHub (www.riskhub.it)
inserendo rischi, controlli e parametri aziendali specifici per la Società, tutti riportati.
• Registro dei Trattamenti (allegato): descrive tutti i trattamenti di dati personali effettuati dalla Società,
definisce il contesto valutativo.
• Piano di Miglioramento (allegato): elenca i controlli interni ad oggi ancora assenti che, non comparendo
nel presente documento, la Società potrebbe avere interesse ad implementare.
• Piano di Audit (allegato): elenca i controlli interni presenti e che la Società ha intenzione di testare per
verificare che la pratica aziendale corrisponda alla teoria esposta nel presente documento.
4. AGGIORNAMENTO CONTINUO E RIESAME PERIODICO
Il Regolamento UE 2016/679 (anche detto General Data Protection Regulation o GDPR) obbliga la Società ad
essere organizzata nel trattamento dei dati personali attraverso un approccio basato sul rischio (cosiddetto
risk-based approach).
Per questo motivo Nome Società ha effettuato un’analisi approfondita della propria struttura e dei propri
processi aziendali costruendo un modello di conformità ad hoc per la propria realtà aziendale.
Cosciente delle difficoltà di convivenza tra una documentazione formale e l’aggiornamento continuo e
costante richiesto dalla normativa, la Società si è dotata di strumenti di supporto (software e Scegli) in grado
di rendere il proprio processo di conformità costantemente aggiornato e strettamente connesso con la realtà
societaria.
I risultati vengono periodicamente formalizzati attraverso la revisione Scegli periodicità di questo documento
da parte di responsabile aggiornamento documentale
Durante la revisione periodica si potranno verificare modifiche valutative in seguito a:
– nuove tipologie di trattamenti e/o dati personali;
– cambiamenti nell’assetto organizzativo aziendale e nell’ambiente di controllo;
– modifiche nella probabilità di accadimento di avvenimenti a rischio anche a seguito dei test
effettuati;
– modifiche dei parametri valutativi utilizzati;
– avanzamento da parte della Società nel proprio Piano di Miglioramento allegato, con conseguente
inserimento di nuovi controlli interni;
– in generale, tutto ciò che possa modificare rischi e controlli in ambito protezione dati personali.
La valutazione è stata effettuata con l’ausilio di RiskHub, software dedicato alla valutazione del rischio GDPR
che ha permesso di calcolare e rendere dimostrabile l’adeguatezza del Sistema di Controllo Interno
societario.
4. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 4 di 25
I risultati derivano dal lavoro effettuato dalla Società con il supporto consulenziale di Nome Società di
consulenza riguardo le variabili di impatto, probabilità di avvenimento dei rischi e efficacia nella risposta
attraverso le misure tecniche e organizzative attualmente presenti in Nome Società.
5. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 5 di 25
5. VALUTAZIONE DEL RISCHIO
5.1. Valutazione di impatto sugli interessati
Seguendo le best practices internazionali, il punto di partenza per la valutazione del rischio GDPR riferito ai
dati personali trattati è stato rappresentato dallo studio del contesto aziendale, formalizzato da Nome
Società attraverso il proprio Registro dei Trattamenti.
Tale Registro mostra la totalità dei trattamenti effettuati e, di conseguenza, le categorie di dati personali
trattati.
Definito il contesto, il processo di valutazione del rischio definisce l’impatto sull’interessato (cioè sulla
persona fisica a cui il dato riferisce) in caso di distruzione, perdita, modifica, divulgazione non autorizzata o
altri avvenimenti negativi.
È stato scelto un meccanismo valutativo che assegna ad ogni categoria di dati personali un differente livello
di gravità considerando il massimo danno in caso di perdita in:
• Riservatezza, che fornisce garanzia sul fatto che i dati siano accessibili in lettura solo a chi ne è
autorizzato; la finalità è quella di prevenire e mitigare il rischio connesso all'accesso e/o all'uso di
informazioni in modalità non autorizzata.
• Integrità, che rappresenta l’insieme delle azioni volte a prevenire la modifica / cancellazione non
autorizzata dei dati sia a seguito di errori o azioni umane, sia a seguito di malfunzionamenti o danni
dei sistemi tecnologici.
• Disponibilità con garanzia di accesso, usabilità e confidenzialità dei dati e delle informazioni,
caratteristica connessa all'accesso alle informazioni.
L’impatto derivante dalla perdita di una o più delle qualità precedentemente descritte sarà in media
ricollegabile alla tipologia di dato personale soggetto a tale evento. Per esempio, prescindendo da eccezioni,
la perdita di un dato medico porterà ad un impatto mediamente più significativo rispetto ad una semplice
informazione di contatto.
Nome Società ha classificato le categorie di dati personali utilizzando una scala a 5 livelli entro un range 0-3
in base ai seguenti criteri:
SCALA DESCRIZIONE DELL’IMPATTO
0,6 Bassissima
Gli individui possono incontrare alcuni piccoli inconvenienti, che supereranno senza difficoltà
(fastidi, irritazioni, impressione di violata privacy senza danno reale, ecc.)
1,2 Bassa
Gli interessati potrebbero sperimentare inconvenienti lievemente significativi, che supereranno
con lievi difficoltà (tempo trascorso reinserendo informazioni, perdita di tempo dovuta all’attesa
per le procedure di ripristino, ecc.)
1,8 Media
Gli individui possono incontrare disagi che saranno in grado di superare ma con alcune difficoltà
(costi aggiuntivi, rifiuto di accesso ai servizi aziendali, paura, mancanza di comprensione, stress,
disturbi fisici minori a causa di mancato rispetto di controindicazioni, ecc.)
6. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 6 di 25
2,4 Alta
Gli individui possono incontrare conseguenze significative, che dovrebbero essere in grado di
superare anche se con gravi difficoltà (appropriazione indebita di fondi, inserimento di liste nere
da parte di istituti finanziari, danni alla proprietà, perdita di posto di lavoro, citazione in giudizio,
peggioramento della salute, ecc.)
3 Altissima
Gli individui possono avere conseguenze significative, o addirittura irreversibili, che non possono
superare (incapacità di lavorare, disturbi psicologici o fisici a lungo termine, morte, indebitamento
ingente, perdita di accesso a infrastrutture vitali come acqua o elettricità ecc.)
Si riporta la classificazione derivante dall’impatto potenziale medio per categoria di dato personale:
ID Categoria Descrizione Importanza
1 Storici
Informazioni riguardo la storia della propria vita personale (fatti accaduti nella
vita di una persona, a lui o attorno a lui che possono averlo influenzato)
Bassa
2
Conoscenze e
credenze
Informazioni riguardo cosa una persona conosce o a cosa crede (orientamento
religioso, filosofico, pensieri, cosa conosce e non conosce, la sua opinione)
Alta
3 Autenticativi
Informazioni utilizzate per autenticare un individuo (password, PIN, nome della
madre da nubile quando impostata come domanda segreta per recupero
password)
Altissima
4 Preferenze
Informazioni riguardo cosa un individuo preferisce o cosa gli interessa (opinioni,
intenzioni, interessi, cibi preferiti, colori, cosa gli piace, cosa non gli piace,
preferenze musicali)
Bassissima
5 Identificativi semplici
Informazioni uniche o semi-uniche (dati non particolari) che identificano uno
specifico individuo (nome, cognome, username, ID, codice fiscale)
Bassissima
6 Di tracciamento Informazioni che permettono di localizzare un individuo (coordinate GPS) Alta
7
Identificativi
particolari
Informazioni uniche o semi-uniche (dati particolari) che identificano uno
specifico individuo (dati biometrici quindi impronte digitali, retina,
riconoscimento facciale)
Altissima
8 Etnici
Informazioni che descrivono origine e discendenza (razza, nazionalità o origine
etnica, lingua parlata, dialetto, accento)
Media
9 Di contatto Informazioni di contatto (Indirizzo mail, indirizzo fisico, telefono) Bassa
10 Sessuali
Informazioni che descrivono la vita sessuale di una persona (preferenze sessuali,
storia sessuale, propensioni)
Alta
11 Comportamentali
Informazioni che descrivono un comportamento o un'attività, anche online
(cronologia del browser, log di chiamate, cookie, link cliccati, attitudini,
comportamenti)
Media
12 Computer e device Informazioni riguardo i device utilizzati (Indirizzi IP, indirizzi MAC) Bassissima
13 Demografici
Informazioni che descrivono le caratteristiche individuali condivise con altri
(range di età, posizione geografica)
Bassissima
14 Medici e di salute
Informazioni che descrivono la salute, le condizioni mediche (Salute fisica e
mentale, risultati di test, disabilità, storia clinica propria o della propria famiglia,
record medici, gruppo sanguigno, codice DNA, prescrizioni mediche)
Altissima
7. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 7 di 25
15 Comunicazioni
Informazioni comunicative da e verso l'individuo (Registrazioni di chiamate,
segreteria, e-mail, sms, chat)
Altissima
16 Caratteristiche fisiche
Informazioni che descrivono le caratteristiche fisiche di un individuo (Peso,
altezza, età, colore dei capelli, tonalità della pelle, tatuaggi, piercing, sesso, foto)
Bassa
17 Finanziari
Informazioni che identificano conti finanziari (numero di carta di credito, conti
bancari, assicurativi)
Alta
18 Proprietà
Informazioni riguardo le proprietà di un individuo, cosa affitta, prende in
prestito, possiede (Macchine, appartamenti, case, proprietà personali)
Media
19 Sociali
Informazioni su amici e connessioni sociali personali (amici, conoscenti,
associazioni, membership)
Bassissima
20 Transazioni
Informazioni riguardo acquisti, spese e entrate (Acquisti, vendite, crediti, ricavi,
mutui e finanziamenti, transazioni, tasse, abitudini di spesa)
Alta
21 Creditizi
Informazioni riguardo la reputazione personale in fatto di credito (Record
creditizio, rating, capacità di credito, fascia di reddito, busta paga)
Alta
22 Familiari
Informazioni sulla famiglia e le relazioni di un individuo (struttura familiare,
fratelli, prole, discendenza, matrimoni, divorzi, relazioni)
Bassa
23 Professionali
Informazioni riguardo studi e professione di un individuo (Titolo lavorativo,
storia lavorativa, scuola frequentata, fascicolo di lavoro, valutazioni, referenze,
interviste, certificazioni)
Bassissima
24 Giuridici e criminali
Informazioni riguardo dati giuridici personali (Multe, sanzioni, condanne,
assoluzioni, provvedimenti disciplinari sul lavoro)
Alta
25
Vita pubblica
(religione, politica)
Informazioni riguardo la vita pubblica di un individuo (reputazione generale,
indole, stato sociale, stato di famiglia, affiliazioni politiche, affiliazioni
organizzazioni religiose, interazioni, meta-dati di comunicazione)
Alta
26 Ambiente di controllo Informazioni che riguardano la totalità delle tipologie presenti di dati personali Altissima
Nel caso in cui uno specifico avvenimento (rischio) si riferisse potenzialmente a più di una tipologia di dato
personale, è stato prudenzialmente preso in considerazione l’impatto maggiore tra le categorie.
8. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 8 di 25
5.2. Identificazione dei rischi GDPR
Si considerano rischi GDPR tutti quegli avvenimenti specifici, singoli e possibili relativi a perdita di
riservatezza, integrità o disponibilità di un dato personale in grado di procurare conseguenze negative
sull’interessato.
Dopo aver valutato l’impatto potenziale delle differenti tipologie di dati personali con le quali entra in
contatto durante la propria attività, Nome Società ha proceduto ad identificare i rischi presenti utilizzando:
☒ Software specialistici
☐ Interviste al management e al personale societario
☐ Brainstorming e riunioni
☐ Standard e Linee Guida anche settoriali
La Società ha tentato di identificare tutti i rischi che presentano una probabilità almeno bassissima di
realizzarsi, procedendo all’analisi per le seguenti categorie:
CATEGORIA DESCRIZIONE
DIPENDENTI
Rischi connessi all’attività di gestione del personale ad esempio riguardo l’utilizzo di
telecamere di sicurezza, l’effettuazione di visite mediche, utilizzo di sistemi di
geolocalizzazione ecc.
INFORMATIVA E
CONSENSO
Situazioni riguardanti la mancata comunicazione all’interessato delle modalità e finalità
per cui i suoi dati personali sono trattati da parte della Società (ad esempio con
riferimento alla non corretta segnalazione dei dati di navigazione sul sito internet
aziendale, alla mancata presenza di informative riguardo l’uso delle telecamere aziendali
ecc.).
IT
Comportamenti e/o eventi riguardanti l’ambito informatico e la struttura della rete
informatica aziendale (dall’attacco informatico ai cali di tensione, dall’errato utilizzo di
mezzi di comunicazione informatica alla situazione hardware aziendale).
MARKETING
Rischi connessi all’effettuazione di campagne commerciali, come l’improprio o errato
utilizzo di mailing list / iniziative anche online (es. newsletter verso soggetti non iscritti,
richiesta di dati palesemente non necessari per l’iscrizione alla newsletter ecc.).
PARTI COINVOLTE
Situazioni potenzialmente impattanti sugli interessati che derivano dai rapporti della
Società con enti o soggetti terzi (ad esempio tutti i rischi derivanti dal rapporto con i
Responsabili del trattamento).
STRUTTURE AZIENDALI
Rischi legati alla struttura aziendale e a tutti gli asset aziendali, con situazioni che vanno
dall’utilizzo improprio degli asset fino all’incendio in sede.
AMBIENTE DI
CONTROLLO
Avvenimenti che porterebbero ad un detrimento dell’ambiente di controllo ed alla
sopravvenuta necessità di diminuire il cosiddetto “Appetito al rischio societario”,
descritto successivamente.
9. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 9 di 25
Cosciente della facilità di errore sempre insita nella fase di identificazione dei rischi, la Società si è organizzata
prevedendo un Sistema in grado di aggiornare tale valutazione:
- in modo continuo, tramite Inserire la modalità scelta, con connesso Piano di Audit e Piano di
Miglioramento;
- periodicamente, stabilendo una rivalutazione completa con periodicità almeno Inserire la periodicità
relativa al Template usato.
10. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 10 di 25
5.3. Valutazione della probabilita’ iniziale
La probabilità esprime la possibilità che un rischio si realizzi.
Il processo valutativo riguardo la probabilità iniziale di accadimento ha tenuto conto di criteri oggettivi quali:
• l’effettiva attività societaria;
• le dimensioni e la localizzazione delle attività economiche svolte;
• l’organizzazione attuale, le funzioni di lavoro, le risorse impiegate;
• gli attuali database, hardware, software e asset presenti.
Nome Società ha utilizzato una scala a 5 livelli entro un range 0-3 in base ai seguenti criteri:
SCALA DESCRIZIONE DELLA PROBABILITA’
0,6 Bassissima Non ci si aspetta che tale avvenimento possa accadere, anche se rimane possibile
1,2 Bassa E’ improbabile che tale avvenimento avvenga nelle normali circostanze
1,8 Media È possibile che tale avvenimento accada o è un avvenimento forse già accaduto
2,4 Alta Data l’attività svolta dalla società, è altamente probabile che possa accadere o è già
successo
3 Altissima È altamente probabile che si verifichi tale avvenimento nel breve periodo oppure già
succede di continuo
Cosciente della possibilità che dei cosiddetti bias (pregiudizi mentali noti in materia di risk management)
potessero indebolire l’oggettività valutativa, la Società si è organizzata per prevenirli:
- effettuando questa valutazione di probabilità iniziale senza considerare l’attuale Sistema di Controllo
presente, in modo da evitare la sottostima dei rischi iniziali considerando precocemente la loro
probabile valutazione finale;
- sottoponendosi ad una serie di quesiti specifici tramite RiskHub, con risposte “al buio” connesse a
differenti livelli di rischio iniziali e senza avere conoscenza a priori di quale fosse il livello di probabilità
connesso ad ogni opzione.
Entrambe le tecniche hanno contribuito a massimizzare la confidenza nelle stime di seguite presentate.
5.4. Valutazione del rischio inerente (o iniziale)
Tramite il software RiskHub la Società ha incrociato la probabilità connessa ad ogni situazione di rischio
identificata con l’impatto che risulterebbe esserci sull’interessato, evidenziando per ogni singolo
avvenimento quali specifiche tipologie di dati personali risulterebbero coinvolte.
11. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 11 di 25
In questo modo per ogni rischio identificato è stato calcolato un valore di rischio inerente (o iniziale).
Il rischio inerente deriva dall’incrocio tra i due fattori di probabilità e gravità, entrambi già stabiliti in
precedenza entro un intervallo da 0 a 3.
Lo stesso rischio inerente è stato definito nell’intervallo 0-3 con una media ponderata pari a:
𝑅𝑖𝑠𝑐ℎ𝑖𝑜 𝑖𝑛𝑒𝑟𝑒𝑛𝑡𝑒 = 𝑥% ∗ 𝑝𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑡à + 𝑦% ∗ 𝑔𝑟𝑎𝑣𝑖𝑡à
dove x% + y% = 100 %.
Le modalità di calcolo di questo incrocio dipendono dalle volontà di chi effettua la valutazione:
- se si volesse porre l’accento su situazioni che, anche non frequenti, potrebbero essere in grado di
causare danni rilevanti, allora si dovrà dare maggior peso al fattore gravità (coscienti di quanto,
ponendo il focus sui rischi a gravità maggiore, si potrebbero avverare problemi minori);
- se si volessero invece evidenziare, dandone priorità, tutte le situazioni che accadono più spesso
desiderando evitare il maggior numero di problemi (anche quelli non particolarmente rilevanti),
allora il peso maggiore interverrà sul fattore di probabilità.
Nella ponderazione tra i due fattori la Società ha deciso di pesare per una percentuale pari al 25% il fattore
di gravità e per la restante percentuale quello di probabilità(Eventuale) Inserire motivazione o lasciare
vuoto.
La Nome Società ha utilizzato il valore di rischio inerente per valutare la necessità e stabilire la raggiunta
sufficienza degli strumenti tecnici e organizzativi attualmente presenti in azienda
5.5. Registro dei rischi inerenti
Di seguito sono riportati esclusivamente rischi legati all’attività ed alla struttura aziendale di Nome Società
L’elencazione segue la divisone nelle tipologie sopra descritte indicando la probabilità stimata e il rischio
inerente ottenuto dal calcolo tramite RiskHub.
DIPENDENTI
ID Descrizione rischio Probabilità
Rischio
inerente
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
12. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 12 di 25
INFORMATIVA E CONSENSO
ID Descrizione rischio Probabilità
Rischio
inerente
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
IT
ID Descrizione rischio Probabilità
Rischio
inerente
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
MARKETING
ID Descrizione rischio Probabilità
Rischio
inerente
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
PARTI COINVOLTE
ID Descrizione rischio Probabilità
Rischio
inerente
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
13. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 13 di 25
STRUTTURE AZIENDALI
ID Descrizione rischio Probabilità
Rischio
inerente
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
AMBIENTE DI CONTROLLO
ID Descrizione rischio Probabilità
Rischio
inerente
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
G
D
P
R
ID univoco Descrizione del rischio Scegli
Valore da 0
a 3
14. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 14 di 25
5.6. Identificazione dei controlli GDPR
Con l’obiettivo di “mettere in atto tutte le misure tecniche e organizzative adeguate per garantire un livello
di sicurezza adeguato al rischio” come disposto dall’Art. 32 GDPR (UE/2016/679), Nome Società ha
identificato e inserito nella presente valutazione tutte le misure attualmente presenti altrimenti dette
“controlli interni”.
Viene definito controllo interno ogni strumento, operazione o processo che abbia la capacità di diminuire un
rischio.
Per ciascuna misura tecnica o organizzativa ad oggi presente in Nome Società è stata definita:
• Categoria: consente di inquadrare il controllo all’interno del sistema aziendale, facendo riferimento
alla macro-categoria di attività nel quale il controllo stesso può essere ricompreso. All’interno di questo
campo si distinguono:
CATEGORIA DESCRIZIONE
ASSISTENZA
Misure riferite all’assistenza verso i propri clienti e dipendenti / collaboratori riguardanti
hardware e software contenti dati personali
BACKUP
Controlli tramite cui la Società si organizza per eseguire correttamente la copia di
sicurezza dei dati personali, mantenerla disponibile e vietarne l’accesso abusivo a terzi
BUSINESS CONTINUITY
Misure che servono a garantire la continuità del servizio, evitando che una temporanea
perdita di disponibilità o integrità dei dati possa creare danni all’interessato perché
interrompe l’erogazione del servizio
DATA BREACH
Controlli definiti per comunicare all’esterno e all’interno della struttura,
tempestivamente, eventuali perdite di dati e garantire un veloce recupero di eventuali
gap che l’hanno permesso
DEVICE
Misure tecniche e organizzative riferite ai device aziendali, in particolare quelli mobili
(portatili, tablet, smartphone)
DOCUMENTAZIONE
Controlli documentali e accordi contrattuali che garantiscono anche formalmente
rassicurazione all’azienda soprattutto quando i dati personali vengono comunicati a terzi
GESTIONE ACCESSI
Misure a tutela degli accessi ad archivi cartacei, software, cartelle di rete o parti riservate
del sito internet / intranet societario.
IT
Controlli informatici a tutela della rete e dei dispositivi IT per prevenire o mitigare
attacchi cyber.
MARKETING E
NEWSLETTER
Misure che la Società ha realizzato con lo scopo di garantire tutti i diritti degli interessati
elencati nella normativa quando vengono svolte azioni commerciali, comprese le
newsletter aziendali
STRUTTURE AZIENDALI
Controlli riguardanti i locali, i mezzi di trasporto, l’ufficio e tutto ciò che è considerabile
struttura aziendale
15. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 15 di 25
AMBIENTE DI
CONTROLLO
Misure di tutela e miglioramento dell’ambiente di controllo con l’obiettivo di aumentare
l’appetito al rischio societario descritto successivamente.
• Descrizione: la descrizione dell’attività di controllo riporta
o chi la svolge;
o quando / ogni quanto viene svolta;
o dove viene svolta;
o come viene svolta (quali asset sono utilizzati ecc.).
• Tipologia: i controlli interni possono essere di natura preventiva (aiutano ad evitare la comparsa del
rischio) o mitigativa (qualora il rischio accadesse, il controllo mitiga le sue conseguenze negative).
• Note: forniscono indicazioni aggiuntive su come la società abbia formalizzato / attuato / testato lo
specifico controllo. Dove possibile è stato inserito il Riferimento documentale a procedure e documenti
contenenti lo specifico controllo.
Segue l’elenco dei controlli attualmente presenti in Nome Società:
16. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 16 di 25
CATEGORIA: ASSISTENZA
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
CATEGORIA: ASSISTENZA
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
CATEGORIA: BACKUP
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
CATEGORIA: BUSINESS CONTINUITY
ID Descrizione controllo Tipologia Note / Riferimento documentale
17. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 17 di 25
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
CATEGORIA: DATA BREACH
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
CATEGORIA: DEVICE
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
CATEGORIA: DOCUMENTAZIONE
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
18. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 18 di 25
CATEGORIA: GESTIONE ACCESSI
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
CATEGORIA: IT
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
CATEGORIA: MARKETING E NEWSLETTER
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
CATEGORIA: STRUTTURE AZIENDALI
19. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 19 di 25
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
CATEGORIA: AMBIENTE DI CONTROLLO
ID Descrizione controllo Tipologia Note / Riferimento documentale
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
ID univoco Descrizione del controllo Scegli Note del controllo
20. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 20 di 25
5.7. Valutazione di efficacia dei controlli
Per calcolare l’effettivo raggiungimento della sufficienza organizzativa della Nome Società si è proceduto a
valutare l’efficacia di ognuno dei controlli presenti su ognuno dei rischi che è in grado di prevenire o mitigare.
Un singolo controllo può abbassare diversi rischi, con diversa efficacia. Sono definiti cinque diversi livelli di
efficacia:
SCALA DESCRIZIONE DELL’EFFICACIA
Nulla La misura tecnica o organizzativa non ha alcuna conseguenza sulla diminuzione dello
specifico rischio
Bassa Il controllo ha un lieve effetto preventivo o mitigativo sull’avvenimento che porterebbe
conseguenze negative sull’interessato (rischio)
Media La misura tecnica o organizzativa ha un effetto sensibile sul rischio
Alta Il controllo diminuisce fortemente la probabilità che uno specifico avvenimento accada
oppure ne diminuisce fortemente le conseguenze negative in caso di accadimento
Molto efficace La misura tecnica o organizzativa è molto efficace nel prevenire o rispondere allo
specifico rischio cui è collegata
Ogni controllo agisce sul rischio inerente / iniziale, a seconda della sua efficacia. Le percentuali di diminuzione
associate ai cinque livelli definiscono parzialmente l’appetito al rischio societario e sono le seguenti:
SCALA % DI DIMINUZIONE
Nulla 0%
Bassa % bassa
Media % media
Alta % alta
Molto efficace % molto efficace
Per garantire l’agevole lettura del presente documento, si rimanda al progetto valutativo sulla piattaforma
RiskHub Nome del Progetto in RiskHub, nel quale viene esplicitato il livello di efficacia associato ad ogni
coppia di rischi e controlli.
21. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 21 di 25
5.8. Valutazione del rischio residuo (o finale)
Se un rischio viene gestito dalla Società attraverso un solo controllo interno, allora quel rischio residuo sarà
uguale al valore del rischio inerente diminuito per la percentuale associata al livello di efficacia del controllo.
Ad esempio, qualora il rischio inerente fosse di valore 3 e ci fosse un solo controllo collegato, con efficacia di
un livello associato ad una percentuale di diminuzione del 50%, il rischio residuo sarebbe pari a 1,5.
Ogni qualvolta invece più di un controllo agisce sullo stesso rischio, si otterrà un effetto cumulativo:
- il primo controllo diminuisce il valore del rischio dell’intera % (nell’esempio del 50%, quindi il valore
del rischio residuo scende da 3 a 1,5)
- il secondo, invece, lo diminuisce della propria % di diminuzione ma calcolata solo sul valore del rischio
rimasto. Ciò significa che se l’efficacia del secondo controllo era associata ad una percentuale di
diminuzione del 30%, il rischio è stato diminuito del 30% del solo 1,5 rimasto (pari a 0,45) e non
calcolato sull’intero rischio iniziale. Il valore residuo potrà essere calcolato pari a (3 * 50% * 70%);
- e così via qualora vi fosse un terzo, quarto o quinto controllo.
Con questo calcolo il software RiskHub è stato in grado di considerare l’area probabile media di
sovrapposizione di più controlli ogni qualvolta questi agiscono su uno stesso avvenimento (rischio).
Scontando l’effetto delle proprie misure tecniche e organizzative in atto, Nome Società ha definito tre
intervalli per valutare ogni rischio residuo:
SCALA DESCRIZIONE
Elevato
Il rischio si presenta elevato nella sua forma residuale, mantenendo un livello non
accettabile per l’organizzazione e necessitando l’aggiunta di ulteriori controlli a
prevenzione/mitigazione dello stesso
Eventuale
Il rischio potrebbe essere accettabile ma il suo sviluppo deve essere monitorato su basi
regolari, con considerazioni successive sulla necessità di implementare nuove misure
tecniche o organizzative a supporto
Accettabile
Il rischio è stato reso accettabile dall’organizzazione societaria e dagli strumenti tecnici,
nonostante debba continuare ad essere monitorato per controllare che cambiamenti
non incrementino il livello di rischio iniziale
22. Nome Società
Indirizzo
Redatta con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 22 di 25
Il livello di accettabilità è definito dai due valori limite di seguito riportati. I seguenti due limiti definiscono
parzialmente il cosiddetto appetito al rischio societario:
SCALA VALORE LIMITE
Da 0 a 3 per elevato
Da 0 a 3 per eventuale
Elevato
Eventuale
Accettabile
23. Nome Società
Indirizzo
Effettuata con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 23 di 25
5.9. Registro dei rischi residui
Incrociando i rischi inerenti (iniziali) con il Sistema di Controllo Interno societario, composto dall’insieme delle misure tecniche e organizzative presenti, sono
risultati i seguenti livelli di rischi residuali.
È stato riportato per ogni rischio sia il valore inerente che il valore residuo, oltre agli ID che identificano univocamente all’interno del software RiskHub i controlli interni
individuati che possiedono una capacità riduttiva del rischio stesso.
Per la visione dello specifico valore di efficacia di ogni singolo controllo, si rimanda al progetto di valutazione online sulla piattaforma RiskHub.
Per migliorare la praticità del documento, il Registro dei Rischi Residui non riporta rischi che presentavano un valore iniziale già accettabile:
ID rischio Categoria Descrizione del rischio
Rischio
inerente
ID dei controlli associati e presenti
Rischio
residuo
ID univoco Categoria del rischio Descrizione del rischio
Da 0 a 3
inerente
Elenco ID dei controlli associati e presenti
Da 0 a 3
residuo
ID univoco Categoria del rischio Descrizione del rischio
Da 0 a 3
inerente
Elenco ID dei controlli associati e presenti
Da 0 a 3
residuo
ID univoco Categoria del rischio Descrizione del rischio
Da 0 a 3
inerente
Elenco ID dei controlli associati e presenti
Da 0 a 3
residuo
ID univoco Categoria del rischio Descrizione del rischio
Da 0 a 3
inerente
Elenco ID dei controlli associati e presenti
Da 0 a 3
residuo
ID univoco Categoria del rischio Descrizione del rischio
Da 0 a 3
inerente
Elenco ID dei controlli associati e presenti
Da 0 a 3
residuo
24. Nome Società
Indirizzo
Effettuata con il supporto di Società di consulenza
Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 24 di 25
ID univoco Categoria del rischio Descrizione del rischio
Da 0 a 3
inerente
Elenco ID dei controlli associati e presenti
Da 0 a 3
residuo
25. Valutazione del rischio GDPR effettuata con RiskHub
Versione: Versione documento Pag. 25 di 25
DISCLAIMER
Il presente documento rappresenta la parte documentale di un Template in RiskHub
(https://www.riskhub.it/template) .
Disponibile gratuitamente, è stato realizzata da RiskHub Network – network professionale a
partecipazione gratuita che ha la missione di promuovere la corretta gestione del rischio quale metodo
per guidare il futuro delle nostre imprese.
Incentiviamo l’utilizzo libero di questo documento anche a chi non ha un abbonamento in RiskHub perché
crediamo che un corretto approccio nel risk management sia una delle sfide obbligatorie da vincere nel
domani, per ogni azienda.
Decliniamo ogni responsabilità derivante da un utilizzo improprio del presente documento o per errori al
suo interno: gli errori così come il valore derivano sempre dalle scelte del consulente, mentre i software e
documenti sono semplici strumenti nelle sue mani, per quanto sofisticati.
E’ vietata ogni rivendita o qualsiasi utilizzo commerciale di questo documento, anche di parti di esso,
pregandovi di riportare questo Disclaimer in ogni riproduzione. Ovviamente, il tutto fatta eccezione per
quei consulenti che lo utilizzeranno (correttamente) per guidare il futuro dei propri clienti: a chi lavora
bene e con passione auguriamo di utilizzarlo molte volte e con le migliori fortune commerciali 😊
RiskHub Network
Vuoi far parte di RiskHub Network? Qui trovi tutte le istruzioni per entrare.
Vuoi seguirci su LinkedIn per essere sempre aggiornato? Schiaccia “segui” dopo aver cliccato
sul nostro hashtag ufficiale #rischiabene