Unul din subiectele care mi-au dat ceva bătăi de cap din punctul de vedere al înțelegerii îl reprezintă „evaluarea riscurilor„ în accepțiunea GDPR. Este drept că subiectul „riscuri„ este și una din pasiunile mele profesionale și mă așteptam să îmi fie mult mi ușor.

În articolul anterior am scris că partea administrativă, deși consumatoare de timp, mi se pare mai simplu de rezolvat decît partea tehnică. „Tehnicismele„ nu mi se par la fel de clare/simplu descrise.

Despre riscuri, în GDPR, se face vorbire în două sensuri: „riscuri„…simple și „riscuri ridicate„. (???) Profesional, dacă nu mă luminez cu ceva la prima lectură, am o abordare tip „cloșcă„: citesc și citesc și tot citesc și mă întreb mereu: am „văzut„ tot? Sigur nu am omis ceva? Cam așa am pățit și cu subiectul de față: Regulamentul nu intră în prea multe amănunte/definiții pentru că trebuie să fie o reglementare care să reziste în timp. Cu toate acestea, pe subiectul ăsta mi-aș fi dorit ceva mai multe informații.

O primă definiție a riscurilor o regăsim în Paragraful 75:

Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală

Urmează apoi, în același paragraf, exemplificarea a ceea ce se înțelege prin „prejudicii de natură materială sau morală„:

• discriminare;
• furt sau fraudă a identității;
• pierdere financiară;
• compromiterea reputației;
• pierderea confidențialității datelor cu caracter personal protejate prin secret profesional;
• inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială;
• privare de drepturi și libertăți
• împiedicarea exercitării controlului asupra datelor lor cu caracter personal;
• dezvăluirea originii rasială sau etnică, opiniilor politice, religiei sau convingerilor filozofice, apartenența sindicală;
• sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe;
• profilare : sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările;
• sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate.

La Articolul 32 mai găsim o referire:

La evaluarea nivelului adecvat de securitate, se ține seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

Deși personal consider că evaluarea riscurilor bazată pe probabilități nu este corectă (în practică este greu de realizat iar fundamentul teoretic, în cazul securității IT este greșit. Discutăm mai degrabă de estimări.), Paragraful 76 cam spre asta ne îndeamnă:

Probabilitatea de a se materializa și gravitatea riscului pentru drepturile și libertățile persoanei vizate ar trebui să fie determinate în funcție de natura, domeniul de aplicare, contextul și scopurile prelucrării datelor cu caracter personal. Riscul ar trebui apreciat pe baza unei evaluări obiective prin care se stabilește dacă operațiunile de prelucrare a datelor prezintă un risc sau un risc ridicat.

Aici este punctul în care am devenit….cloșcă: Regulamentul nu are nici o definiție pentru „riscuri ridicate„!

Și atunci cum se rezolvă problema? Recitind pargraful 76, un risc devine „ridicat„ în funcție de probabilitate și gravitate prin referire la  natura, domeniul de aplicare, contextul și scopurile prelucrării.

Detalii explicite regăsim în articolul 35:

Având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, în cazul în care un tip de prelucrare, în special cel bazat pe utilizarea noilor tehnologii, este susceptibil să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul efectuează, înaintea prelucrării, o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal.

Reformulînd: facem evalurea riscurilor. Dacă rezultă riscuri ridicate trebuie să facem și evaluarea impactului operațiunilor de prelucrare. Cînd? În 3 cazuri:

(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;

(b) prelucrării pe scară largă a unor categorii speciale de date, menționată la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale și infracțiuni, menționată la articolul 10; sau

(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Primul articol ce mi-a rămas în cap de la prima lectură a fost cel în care se vorbește despre „măsuri tehnice„ și…riscuri (Art. 24):

Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.

Operatorul face asta cu ajutorul responsabilului cu securitatea datelor care, printre altele, furnizează consiliere la cerere în ceea ce privește evaluarea impactului asupra protecției datelor și monitorizarea funcționării acesteia.

Concluzie: întreaga listă din Pargraful 75 devine listă de „riscuri ridicate„ în funcție de probabilitate și gravitate.