Assumendo come riferimento la classificazione in 4 livelli dell’impatto potremmo, sempre a titolo esemplificativo, stabilire che:
- Per il livello 1 (fino a 9 – verde) sono considerati sufficienti le misure generali di protezione dei dati;
- Per il livello 2 (fino a 19 – giallo) sono necessarie anche le misure specifiche.
Nella fase di progettazione le misure che vengono assunte rendono il rischio compatibile con i requisiti di riservatezza, integrità e disponibilità e l’impatto deve essere contenuto necessariamente nell’ambito del livello 2.
Nel caso che l’evento a rischio accada effettivamente è necessario procedere al riesame, elevando il grado di probabilità e considerando l’impatto effettivo degli effetti dell’accadimento. Per esempio se vi è una perdita o distruzione di una cartella sanitaria l’impatto non sarà 18 (2 ✕ 9) ma almeno 63 (7 ✕ 9).
Nel caso di accadimento di un evento a rischio l’impatto potenziale può transitare da un livello basso (1 o 2) ad un livello alto (3 o 4) e in questo caso sono previste misure ulteriori:
- Per il livello 3 in caso di accadimento è necessario il trattamento dell’evento per la riduzione o azzeramento degli effetti negativi e potrebbe essere necessaria la comunicazione al Garante;
- Per il livello 4 è necessario il trattamento dell’evento per la riduzione o azzeramento degli effetti negativi ed un’azione correttiva per evitare che l’evento possa ripetersi ed è sicuramente necessaria la comunicazione al Garante e, se del caso, agli interessati della violazione (data breach, vedi passi 9, 10)
In caso di accadimento di un evento dannoso il processo che l’organizzazione avvia consiste in un riesame ed in una rivalutazione dell’impatto (che sale oltre la soglia di guardia) con il contestuale avvio del processo di trattamento e se del caso di azione correttiva in maniera da riportare entro un tempo congruo, l’impatto sotto soglia.