Il rischio è definito come la combinazione della probabilità che un evento si verifichi e dell’impatto che può avere.
L’impatto è diverso dalla conseguenza.
La conseguenza è un elemento senza dimensione (perdita, distruzione e così via) mentre l’impatto è un elemento, collegato alla conseguenza, ma che deve riferirsi ad una dimensione (“perdita del dato personale di un solo interessato” è un impatto diverso da “perdita dei dati personali di tutti i clienti”).
Quindi, per valutare il rischio occorre stimare probabilità e impatto. Per stimare l’impatto occorre individuare preliminarmente la conseguenza dell’evento.
Le conseguenze più frequenti nel trattamento dei dati personali sono le seguenti e, si ribadisce, possono riguardare sia i dati trattati in modo automatizzato sia i dati trattati in modo tradizionale
|
Conseguenza dell’evento |
Significato |
|
Distruzione |
I dati sono stati distrutti e non sono recuperabili. Compromissione della disponibilità dei dati. |
|
Perdita |
I dati non risultano più nella disponibilità del titolare o del responsabile e non è noto se siano stati distrutti o se siano nella disponibilità di un terzo. Compromissione della disponibilità e della riservatezza dei dati |
|
Modifica |
I dati risultano alterati. Compromissione della integrità dei dati. |
|
Divulgazione non autorizzata |
I dati sono nella disponibilità di destinatari non leciti. Compromissione della riservatezza dei dati. |
|
Accesso non autorizzato |
I dati sono noti a destinatari non leciti. Compromissione della riservatezza dei dati. |