Come in tutte le attività, anche nel trattamento dei dati personali è importante avere delle policy o delle procedure che aiutino a definire le linee guida per la gestione dei rischi, per poter permettere di individuare e gestire tutti i rischi che possono derivare da eventi interni o esterni rispetto al contesto aziendale. In questa fase andranno individuate le risorse coinvolte (ruoli e responsabilità delle persone nei confronti dei rischi), gli strumenti da utilizzare per analizzarli, le scale per misurarli, le tempistiche di monitoraggio e le eventuali azioni di mitigazione da porre in essere. Un approccio che si può utilizzare è basato sul metodo ARES (acronimo di Assessment of Risks by Enterprise Scores). Quanto descritto può essere applicato in realtà medio piccole e laddove non si ha al proprio interno una forte competenza in materia di analisi dei rischi.
Cosa prevede il risk assessment
Il processo di analisi del rischio è un’attività complessa e articolata che comprende i seguenti aspetti:
- identificazione dei rischi;
- valutazione dei rischi;
- assegnazione della priorità di intervento;
- reporting dei rischi;
- trattamento dei rischi;
- monitoraggio e chiusura della azioni intraprese.
Ricordiamoci che l’analisi del rischio deve essere svolta:
- in tutti i casi in cui è attivato un nuovo processo/servizio/progetto;
- quando sono state introdotte modifiche significative a questi processi/servizii/progetti (ad esempio l’introduzione di una app);
- in fase di prima applicazione per consentire il monitoraggio e l’aggiornamento sui trattamenti esistenti e già inseriti nel registro dei trattamenti.
Identificazione del rischio
L’identificazione del rischio consiste nel creare un inventario dei rischi significativi classificandoli all’interno di determinate categorie. Esistono diverse tecniche, anche utilizzabili tra loro, tra cui l’analisi di una esperienza passata, la check list, l’intervista, il brain storming, l’analisi SWOT.
Un elenco di possibili fonti di rischio può essere a titolo di esempio la seguente:
- requisiti del prodotto da realizzare:
- non precisati in sede contrattuale;
- alta probabilità di modifica del committente in corso d’opera;
- assenza di certezza sull’individuazione di tutti i semilavorati.
- caratteristiche del prodotto:
- ricorso a tecnologie innovative o poco conosciute;
- processo non adeguatamente collaudato;
- presenza di fornitori poco affidabili.
- termini contrattuali:
- assenza di clausole per il riesame dei prezzi;
- piano dei pagamenti troppo vincolato ai Sal;
- eventuali prescrizioni di carattere legale;
- presenza di garanzie o penali.
- aspetti economici:
- investimenti troppo onerosi;
- contingency non previste;
- probabile negatività del cash flow cumulativo;
- approvvigionamenti in termini di mezzi o risorse senza un ordine scritto.
- preventivazione dei costi:
- mancata previsione di rinnovi contrattuali;
- poca conoscenza di vincoli contrattuali;
- prezzi in evoluzione.
- stima delle durate:
- incertezza sulla reale disponibilità di attrezzature particolari;
- impegni critici circa i tempi di consegna;
- incertezza sulla presenza di risorse umane con le skills richieste.
- aspetti di natura organizzativa:
- skill non adeguati del team di progetto;
- risorse limitate per il controllo del progetto;
- assenza di procedure di project management e/o change management;
- assenza di procedure di test;
- risorse umane part time;
- turnover elevato;
- imprecisa definizione dei ruoli;
- attribuzione di responsabilità non formalizzata e/o poco definita.
- Aspetti normativi in tema di privacy:
- mancanza di processi di gestione del trattamento dei dati (ad es. data breach);
- attività svolte principalmente da responsabili esterni;
- verifica preventiva delle misure di sicurezza applicate al trattamento (privacy by design);
- mancata previsione di verifiche periodiche sui trattamenti (privacy by default);
- informativa e consenso;
- trattamento di dati in Paesi extra UE;
- comunicazione di dati a terze parti;
- tecniche informatiche per la protezione dei dati.
Valutazione dei rischi
Questa fase che ha inizio con la stima dei rischi permette di individuare quelli non accettabili, per i quali si può procedere con adeguate misure di trattamento. La stima può avvenire tramite tecniche qualitative, quantitative o miste. Le prime contengono parole o scale descrittive per rappresentare probabilità e impatto di ciascun rischio individuato. Le seconde analizzano più in dettaglio gli accadimenti di rischio e ne misurano gli effetti sul sistema in esame, concentrandosi sugli accadimenti prioritari che emergono dalla fase di analisi qualitativa: si riconduce la valutazione ad un valore numerico puntuale, spesso inteso come la perdita economica derivante dal verificarsi del rischio. Si tratta di un approccio più difficile ed oneroso del primo perché costringe ad un censimento, a una valorizzazione degli asset e ad una valorizzazione delle perdite che si avrebbero in caso di incidente. Nel terzo, le valutazioni sono effettuate in termini qualitativi e, successivamente, trasformate in numeri per poterle elaborare attraverso algoritmi di calcolo, come se si trattasse di valutazioni quantitative, dando vita a una metodologia di analisi basata sulla rilevazione di indicatori chiave che, una volta valorizzati, permettono l’assegnazione di determinati punteggi.
Utilizzando una metodologia qualitativa, la valutazione del rischio permette di identificare i fattori di rischio che possono cagionare un danno attraverso una analisi dei fattori di probabilità che un determinato evento si verifichi e la gravità del danno prodotto da quel particolare evento. Questo può essere così tradotto:
R = P x D | |
R = RISCHIO | “Effetto dell’incertezza sugli obiettivi, dove per effetto si intende uno scostamento da quanto atteso, positivo e/o negativo” – rif. UNI EN ISO 31000:2010 |
P = PROBABILITA’ | “Misura in cui un evento si ritiene probabile” |
D = DANNO | “Diminuzione, più o meno grave ed evidente, di efficienza o di consistenza, di prestigio o di valore, dovuta a cause fortuite o volontarie” |
Dopo avere raccolto tutti i fattori di rischio si procederà ad analizzarli uno ad uno. Per ciascun fattore individuiamo una scala di misurazione. Nelle tabelle che seguono un esempio di come possiamo procedere:
Definizione | Prob. | Interpretazione della definizione |
IMPROBABILE | 1 | Non esiste nessuna correlazione diretta tra l’attività presa in esame ed il verificarsi del danno ipotizzato; Il verificarsi richiederebbe la concomitanza di più eventi eccezionali; Non si sono mai verificati fatti analoghi ed il suo verificarsi susciterebbe incredulità. |
RARO | 2 | Il verificarsi richiederebbe la concomitanza di più eventi poco probabili; Si sono verificati casi isolati. |
POCO PROBABILE | 3 | È difficilmente ipotizzabile una correlazione tra l’attività presa in esame ed il verificarsi del danno ipotizzato; Il verificarsi richiederebbe circostanze non comuni e di poca probabilità; Si sono verificati pochi casi analoghi ed il suo verificarsi susciterebbe modesta sorpresa. |
PROBABILE | 4 | Esiste una potenziale correlazione tra l’attività presa in esame e il verificarsi del danno ipotizzato; Frequenza di accadimento media; Il suo verificarsi susciterebbe modesta sorpresa. |
MOLTO PROBABILE | 5 | Esiste una correlazione tra l’attività presa in esame e il verificarsi del danno ipotizzato; Frequenza di accadimento alta; Il suo verificarsi è praticamente dato per scontato. |
Tabella 1
Definizione | Gravità del danno | Interpretazione della definizione |
LIEVE | 1 | Assolutamente non impattante Aumento costi, tempo trascurabile o <10% Degrado qualità scarsamente visibile |
MEDIO | 2 | Impattante senza conseguenza Aumento costi, tempo 10-20% Degrado qualità che richiede una approvazione |
GRAVE | 3 | Impattante con intervento non immediato e gestione non conformità Aumento costi, tempo 20-40% Degrado qualità inaccettabile |
GRAVISSIMO | 4 | Impattante con intervento immediato/risoluzione e gestione non conformità; azione correttiva Aumento costi, tempo >40% Degrado qualità rende inutile il progetto |
Tabella 2
Prioritizzazione del rischio
L’obiettivo è quello di definire una priorità tra i rischi identificati, distinguendo quelli che necessitano di investimenti o azioni organizzative urgenti, da quelli che richiedono interventi nulli o ridotti. Se i rischi sono stati valutati qualitativamente, verranno considerati critici i rischi che superano il valore di soglia prefissato, considerando congiuntamente la probabilità di accadimento e la severità dell’impatto. Nel caso in cui i rischi siano stati valutati quantitativamente, verrà valutato l’impatto di ciascun fattore di rischio sulla distribuzione di probabilità di determinati obiettivi di performance: verranno classificati come critici, tutti i rischi aventi un’incidenza maggiore di una soglia percentuale sulla variazione delle prestazioni aziendali. Procedendo con il nostro esame qualitativo, l’incrocio dei dati raccolti (risk rating) può avvenire all’interno di una matrice che individua un insieme di combinazioni necessarie a determinare il valore numerico del rischio, il livello in cui il valore numerico si colloca e le azioni da intraprendere all’interno di quel range. La riga scura individuerà la soglia di attenzione.
CALCOLO LIVELLO DI RISCHIO | GRAVITA’ ACCADIMENTO (DANNO) | ||||
4 | 3 | 2 | 1 | ||
PROBABILITA’ ACCADIMENTO | 5 | 20 | 15 | 10 | 5 |
4 | 16 | 12 | 8 | 4 | |
3 | 12 | 9 | 6 | 3 | |
2 | 8 | 6 | 4 | 2 | |
1 | 4 | 3 | 2 | 1 | |
RISCHIO | LIVELLO | AZIONI | |||
R > 10 | ELEVATO (Interventi immediati) | Non conformità che richiede l’adozione di misure correttive; Emissione/aggiornamento di procedure; Attività di addestramento/formazione; Introduzione di nuove tecnologie; Investimento economico; Coinvolgimento delle istituzioni; Intervento nei confronti del fornitore; Attività di Audit supplementare; Ecc… | |||
R: 5 – 10 | MEDIO (Tre mesi) | Non conformità che richiede l’adozione di misure correttive non imminenti; Emissione/aggiornamento di procedure; Attività di addestramento/formazione; Introduzione di nuove tecnologie; Coinvolgimento delle istituzioni; Comunicazione con il fornitore; Ecc… | |||
R: 3 – 4 | BASSO (Sei mesi) | Non conformità di carattere tecnico/documentale derivante dall’aggiornamento e/o dall’evoluzione della normativa di riferimento; Non si intraprendono azioni formali; Monitoraggio puntuale | |||
R: 1 – 2 | MINIMO (Un anno) | Non si intraprendono azioni formali; Costante monitoraggio diluito nel tempo |
Tabella 3
Reporting, trattamento e monitoraggio dei rischi
In questa fase verrà redatto un report sintetico, in cui si rappresentano tutti i rischi individuati, nel quale indicheremo:
- la codifica del rischio e le informazioni necessarie (ad es. descrizione, finalità, etc…);
- i risultati ottenuti dall’analisi e quindi il valore del rischio attuale;
- le risorse impegnate nella gestione del rischio;
- la decisione intrapresa per gestire il rischio che possiamo qui riassumere in:
- evitare il rischio, decidendo ad es. di non intraprendere un’azione, laddove le azioni di gestione risultassero troppo onerose;
- condividere il rischio (ad es. assicurandomi contro il rischio o porre in essere accordi contrattuali);
- modificare la probabilità o le conseguenze per mitigarlo;
- accettare il rischio sulla base di una decisione informata.
Mentre le prime due sono azioni ex-ante, le altre due sono azioni ex-post.
- Le azioni di mitigazione intraprese (che dovranno quindi essere tracciate e descritte);
- Il nuovo valore dei fattori di rischio che determineranno il rischio residuo;
- Tempi di attuazione, di monitoraggio;
- Coloro che hanno la responsabilità di verificare che il processo di gestione del rischio sia effettivamente attuato.
Cod Rischio | ….. | PA | DA | RA | Risorse coinvolte | Decisioni | Azione Mitigazione | PR | DR | RR | Tempi Attuaz. | Tempi Monitor | Verifica Attuaz. |
R01 |
Tabella 4
La valutazione del rischio nella privacy
In ambito privacy è fondamentale valutare in modo adeguato i rischi. Il regolamento generale sulla protezione dei dati prevede che “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.” (Art.24, par.1). Si aggiunga che la definizione data dal Gruppo di lavoro Art.29 WP248 rev.1 definisce il rischio come “uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità” per i diritti e le libertà.
Da questa definizione si capisce intanto come il rischio si riferisca ai soggetti interessati dal trattamento. Come poi indicato dal Garante della Privacy la valutazione del rischio deve riguardare i seguenti elementi: la sicurezza del trattamento e gli effetti complessivi del trattamento stesso. Nel primo caso si prende in considerazione la riservatezza (divulgazione, accesso), l’integrità (alterazione) e la disponibilità del dato (distruzione, indisponibilità, perdita). Nel secondo caso una serie di elementi quali il danno di reputazione, la discriminazione, il furto d’identità, la perdita di controllo dei dati, etc.
Un caso pratico
Proviamo a costruire una matrice prendendo come caso reale l’amministrazione del personale. Un’area della direzione del personale che tipicamente tratta dati personali comuni e particolari di tutti i dipendenti, amministratori ed organi sociali all’interno dell’organizzazione.
Partendo dalla matrice di Tabella 4, raccogliamo gli elementi oggetto dell’analisi. Ciascuna voce che andremo ad inserire potrà essere a sua volta suddivisa in sotto categorie. Ad esempio nella “categoria dei dati” da trattare potremo indicare non solo se sono comuni o particolari ma specificarne la tipologia (ad es. nome, cognome, codice fiscale, disabilità, appartenenza a sigle sindacali, etc…).
Quindi effettuiamo una valutazione dell’impatto sui diritti e sulle libertà fondamentali delle persone fisiche che possono derivare dalla perdita di sicurezza dei dati, e la relativa probabilità che il danno si verifichi. Per valutare il grado di impatto possiamo procedere come suggerito dalle indicazioni dell’ENISA, ovvero, considerare separatamente la (1) perdita di riservatezza, (2) l’integrità e la (3) disponibilità; utilizzando la scala di Tabella 2, il risultato più elevato ottenuto sarà preso come riferimento per l’analisi di impatto (DA). Proseguendo con la nostra matrice avremo:
Cod. Rischio | Descrizione | Valutazione impatto (DA) |
R01 (1) | Si prega di riflettere sull’impatto che una divulgazione non autorizzata (perdita di riservatezza) dei dati personali – nel contesto in cui il Titolare del trattamento svolge la propria attività – potrebbe avere sull’individuo ed esprimere una valutazione/rating di conseguenza. | 4 |
R01 (2) | Si prega di riflettere sull’impatto che un’alterazione non autorizzata (perdita di integrità) dei dati personali – nel contesto in cui il Titolare del trattamento svolge la propria attività – potrebbe avere sull’individuo ed esprimere una valutazione/rating di conseguenza. | 2 |
R01 (3) | Si prega di riflettere sull’impatto che una distruzione o perdita non autorizzata (perdita di disponibilità) di dati personali – nel contesto in cui il Titolare del trattamento svolge la propria attività – potrebbe avere sull’individuo ed esprimere una valutazione/rating di conseguenza. | 3 |
Una volta determinato l’impatto andremo a classificare la probabilità (PA) di accadimento della minaccia con i criteri indicati nella Tabella 1. Anche questa fase può essere accompagnata da una serie di valutazioni come ad esempio gli strumenti utilizzati per il trattamento, numero di autorizzati al trattamento, etc.
Quindi, andremo a calcolare il valore di rischio (RA) attraverso la Tabella 3 che darà indicazioni, oltre che sul livello di rischio da affrontare, anche delle misure da porre in essere; misure che possono chiaramente variare da organizzazione a organizzazione.
Una volta individuato il rischio “attuale” inizierà la fase di reporting, trattamento e monitoraggio. Il Titolare del trattamento dovrà individuare quali decisioni mettere in campo per mitigare il rischio (o accettarlo per perseguire una opportunità) al fine di determinare il c.d. rischio residuo (RR), ovvero, quel valore di rischio ritenuto accettabile. Ciò implica l’adozione di tutte le misure di sicurezza ritenute efficaci per raggiungere o mantenere il livello di rischio desiderato. A conclusione di questa fase il titolare del trattamento dovrà individuare i soggetti incaricati di monitorare, e quindi tenere sotto costante controllo, le variabili del rischio in modo da intervenire laddove le misure non dovessero risultare efficaci o laddove venissero introdotte nuove attività.
In questo modo avremo costruito una matrice completa (Tabella 5) per ciascun tipo di trattamento, che potrà essere altresì integrata nel registro dei trattamenti dell’organizzazione, arricchendola con ulteriori informazioni (ad esempio si potrebbe indicare l’effetto complessivo del trattamento in caso di data breach).
Cod. Rischio | Processo Servizio Progetto | Finalità | Descrizione | Categ. di dati | Interess | N° di interes | Base giuridica | Strumenti per il trattamento | Comunicazione Trasferimento a terzi |
R01 | Risorse Umane | Amm. del Pers. | Rapporto contratt.le Cedolini Adempimenti contributivi e fiscali | Comuni Particolari | Dip. Organi sociali | n.° | Esecuzione contratto Obblighi di legge Etc… | Strumenti digitali… | Fondi Cdl Centri impiego Sindacati Etc… |
PA | DA | RA | Risorse coinvolte | Decisioni | Azione Mitigaz | PR | DR | RR | Tempi Attuaz | Tempi Monitor | Verifica Attuaz |
3 | 4 | 12 | Res. Privacy Res. Hr Autorizzati | Evitare Modificare etc | Nessuna o azione da applicare | 2 | 3 | 6 | Gg/Mese/anno | Step periodici di verifica delle azioni intraprese | Resp. Hr |
Tabella 5
Conclusioni
Anche nelle piccole e medie imprese è importante che il tema della gestione del rischio entri in modo permanente nella cultura dell’organizzazione. In generale la sicurezza del dato non deve essere percepita solo come un obbligo ma anche come un requisito necessario per dimostrare la propria conformità al Regolamento. Per questo è fondamentale non solo implementare una procedura che gestisca il rischio, ma far sì che questa procedura diventi strategica per definire tutti i processi aziendali. Laddove poi l’analisi dovesse portare a una valutazione molto alta del rischio, il titolare potrà pensare di procedere a una DPIA. Un famoso motto diceva “prevenire è meglio che curare”. Ed è questo l’obiettivo di una analisi dei rischi fatta a priori, e non a posteriori, o fatta nel momento in cui le variabili in gioco dovessero mutare.