Cosa rappresenta concretamente il 'rischio accettabile'? È quel punto di equilibrio, quel livello di rischio che un titolare, dopo un'attenta analisi, decide di tollerare, tenendo conto dei costi e dei benefici delle eventuali azioni correttive.

Ma perché è così importante?

Guardiamo al 'considerando 76' del GDPR per trovare la risposta:

"La probabilità e l'impatto del rischio per i diritti e le libertà dell'interessato dovrebbero essere valutate considerando la natura, l'ambito, il contesto e le finalità del trattamento. Il rischio dovrebbe essere valutato oggettivamente per determinare se comporta un rischio basso o elevato."

Quindi, il nostro primo compito è capire se il trattamento dei dati comporta un rischio e se questo rischio è elevato.

Ma come facciamo a definirlo 'elevato'?

L'obiettivo è stabilire una 'soglia RaT' che ci indichi quando il rischio diventa elevato.

Valutare il 'rischio accettabile' diventa cruciale perché ci permette di stabilire il livello adeguato di protezione dei dati, da mettere in atto o da migliorare...

Partendo da un'analisi e utilizzando valori da 1 a 16 (in una matrice 4x4) dove 16 rappresenta il rischio massimo, possiamo considerare l'approccio dei quartili:

1. Primo Quartile (Rischio Minimo): Da 0,5 a 4, dove 4 è la soglia massima. Qui si trovano i rischi più bassi, gestibili con misure standard di mitigazione.

2. Secondo Quartile (Rischio Basso): Da 4,1 a 8, rappresenta rischi superiori alla soglia di base, ma ancora gestibili senza grandi cambiamenti.

3. Terzo Quartile (Rischio Medio): Da 8,1 a 12, richiede attenzione e potrebbe necessitare di revisioni delle politiche o dei controlli.

4. Quarto Quartile (Rischio Alto): Da 12,1 a 16, i rischi più elevati che richiedono interventi immediati o cambiamenti sostanziali.

Il valore 4 funge da confine tra rischio basso e moderato, indicando che il titolare è disposto ad accettare rischi fino al primo quartile, presupponendo che siano gestibili.

Meglio pertanto prevenire che rimediare. Dovrebbero ben saperlo sia i titolari che i DPO.
Quando sarà il momento di agire occorrerà farlo con determinazione, ricordando che ogni rischio accettabile è un'opportunità di crescita e di miglioramento della strategia di gestione dei dati.

Nella danza tra rischio e sicurezza, la mossa più audace può essere proprio quella di trovare l'equilibrio perfetto.