Radar dei rischi secondo l'allegato A IFPDT: valutare sistematicamente i rischi privacy

«Abbiamo bisogno di una valutazione d'impatto?» Questa domanda è una delle più frequenti — e la risposta è di solito: «Probabilmente no, ma l'allegato A della guida IFPDT aiuta a verificarlo sistematicamente.» L'allegato A è lo strumento pratico che non gioca un grande ruolo nella LPD stessa, ma vale oro nella quotidianità.

Cosa offre l'allegato A

L'IFPDT ha pubblicato nella sua guida sulla valutazione d'impatto (DPIA) un allegato A che descrive una metodologia strutturata per valutare i rischi di protezione dati. Il metodo combina quattro dimensioni in un punteggio complessivo, fornendo una base oggettiva per la decisione «DPIA sì o no».

Importante: l'allegato A non è obbligatorio ma una raccomandazione. Chi lo usa ha un processo di valutazione dei rischi difendibile. Chi applica metodi propri deve poterli documentare in modo similmente strutturato.

Le quattro dimensioni di rischio

1. Gravità del pregiudizio

Quanto sarebbe grave il danno per un interessato se qualcosa andasse storto? Scala tipica:

• Bassa — sforzo minore di ripristino (es. spam newsletter)
• Media — pregiudizio sensibile (es. pubblicità indesiderata)
• Alta — pregiudizio sostanziale (es. decisione di credito ingiusta)
• Molto alta — irreparabile (es. divulgazione pubblica di dati sanitari sensibili)

2. Probabilità

Quanto è probabile che il danno si verifichi? Scala:

• Molto improbabile — es. con misure di sicurezza molto forti
• Improbabile — sicurezza standard, poca superficie di attacco
• Possibile — rischio medio
• Probabile — vulnerabilità note, mitigazione incerta
• Molto probabile — nessuna misura di protezione, grande superficie di attacco

3. Numero di persone interessate

Quante persone sarebbero coinvolte? Scala:

• Poche (< 100)
• Medio (100-10 000)
• Molte (> 10 000)

4. Particolare vulnerabilità

Sono coinvolte persone particolarmente vulnerabili? (es. bambini, pazienti, dipendenti con asimmetria verso l'entità di trattamento)

• No — utenti adulti consueti
• Sì — bambini, pazienti, dipendenti o persone in situazioni vulnerabili

Calcolo del punteggio di rischio

Il punteggio è tipicamente formato come moltiplicazione o aggregazione delle quattro dimensioni. Un modello semplice:

Rischio = Gravità × Probabilità × Fattore-Numero × Fattore-Vulnerabilità

Con:

• Gravità: 1-4
• Probabilità: 1-5
• Numero: 1 (poche), 2 (medio), 3 (molte)
• Vulnerabilità: 1 (no), 2 (sì)

Soglie:

• Punteggio 1-12: Rischio basso, nessuna DPIA necessaria
• Punteggio 13-30: Rischio medio, DPIA raccomandata
• Punteggio 31-120: Rischio alto, DPIA obbligatoria

Esempio: webshop PMI con marketing standard

Setup: webshop svizzero, ca. 5 000 visitatori mensili, Google Analytics, Meta Pixel, newsletter via Brevo.

Gravità: 1 (bassa) — in caso di leak di dati di tracking cookie, il pregiudizio individuale sarebbe minore.

Probabilità: 2 (improbabile) — gli strumenti sono fornitori affermati con buona sicurezza.

Numero: 1 (poche) — al mese solo una frazione viene attivamente tracciata.

Vulnerabilità: 1 (no) — utenti standard.

Punteggio: 1 × 2 × 1 × 1 = 2 → Rischio basso, nessuna DPIA necessaria.

Esempio: piattaforma online con profilazione

Setup: piattaforma SaaS, calcolo tariffario automatico basato su comportamento utente e dati demografici, 50 000 utenti.

Gravità: 3 (alta) — determinazione tariffaria errata può portare svantaggi finanziari.

Probabilità: 3 (possibile) — gli algoritmi possono contenere bias, non è stato testato.

Numero: 3 (molte) — oltre 10 000 persone.

Vulnerabilità: 1 (no) — clienti aziendali.

Punteggio: 3 × 3 × 3 × 1 = 27 → Rischio medio, DPIA raccomandata. A probabilità maggiore: obbligatoria.

Quando l'IFPDT deve essere consultato

Se la DPIA mostra che il rischio non può essere sufficientemente ridotto, l'IFPDT deve essere consultato preventivamente (art. 23 LPD). In pratica è raramente il caso — di solito si trovano misure di mitigazione che ammortizzano sufficientemente il rischio.

Possibili misure di mitigazione:

• Minimizzazione dei dati — raccogliere meno dati
• Anonimizzazione/pseudonimizzazione — trattare i dati in modo che nessuna identificazione sia possibile
• Consenso — accordo esplicito come legittimazione aggiuntiva
• Trasparenza — informare gli interessati e dare scelta
• Misure di sicurezza — crittografia, controlli d'accesso, logging

Aiara e il radar dei rischi

Nella fase 3 di Aiara (prevista per il 2026), il radar dei rischi sarà disponibile come funzione integrata. Le PMI svizzere potranno allora effettuare una valutazione rapida per dominio e per strumento usato — basata sulle quattro dimensioni, con raccomandazioni automatiche per misure di mitigazione. Chi usa il radar regolarmente documenta la propria valutazione dei rischi sistematicamente e, in un controllo a campione dell'IFPDT, può immediatamente presentare una valutazione motivata.

Fino ad allora: prendete l'allegato A sul serio, fate una valutazione scritta per ogni operazione di trattamento rilevante e documentate il risultato con data e responsabile. Si fa in mezz'ora anche senza strumento.