Senza alcun dubbio la responsabilizzazione del titolare del trattamento, cioè di colui che determina finalità e mezzi di trattamento di dati personali, passa attraverso il cosiddetto principio di accountability.
Tale principio lascia proprio al titolare, figura prevista dal Regolamento UE 679/2016 che per brevità nel prosieguo chiameremo GDPR, l’onere di determinare non solo il rischio di impatto che il trattamento può avere sulla libertà e sui diritti degli interessati cioè dei soggetti, persone fisiche i cui dati vengono trattati, ma anche di dimostrare che sia la valutazione di rischiosità sia la conseguente scelta di misure tecniche e organizzative in ambito di sicurezza sia stata effettuata con solide basi dimostrabili.
Poiché il GDPR prevede l’onere della prova, in capo al titolare e al responsabile del trattamento, di attuare le misure organizzative e di sicurezza adeguate alla particolare tipologia di dati (principio di accountability), il legislatore ha introdotto la possibilità di avvalersi di protocolli di certificazione per provare il rispetto del Regolamento stesso.
I 5 passaggi per la valutazione del rischio
Nel GDPR è l’articolo 42 che disciplina le certificazioni ossia quegli atti mediante i quali si garantisce il rispetto da parte di professionisti, imprese e organizzazioni pubbliche, dei requisiti previsti dalle norme e dagli standard internazionali riguardo la conformità di prodotti, servizi, processi, sistemi e persone.
L’articolo 42, afferma che: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese”.
Volendo creare una metodologia coerente facendo riferimento a protocolli specifici possiamo affermare che il giusto mix di quelle che possono essere prese in considerazione al fine di creare una metodologia strutturata di valutazione del rischio privacy andremo a indicare la ISO 31000 e ISO 29134 in relazione ai processi, ISO 29134 alle minacce, ISO 27001, ISO 27002, ISO 29151 in relazione ai controlli.
Cercando di creare un giusto processo adattabile a ogni realtà aziendale si cerca di proporre una metodologia che si articola in 5 passaggi tali da consentire di utilizzare gli elementi in nostro possesso per arrivare alla valutazione di un livello di rischiosità del trattamento in analisi e, soprattutto, all’implementazione di un piano di gestione del rischio. Tutto ciò con metodo e soprattutto con dei solidi principi razionali tutti dimostrabili sempre nel pieno rispetto del principio di accountability.
I 5 passaggi possono essere esplicitati come segue:
1. Individuazione dei trattamenti di dati personali effettuati
2. Analisi e valutazione di impatto dei dati personali trattati
3. Identificazione delle minacce e della relativa probabilità di accadimento
4. Individuazione dei controlli e del relativo livello di adeguatezza
5. Il piano di gestione del rischio
Tratteremo solamente i primi due punti lasciando gli altri per successive trattazioni in modo da separare coerentemente gli argomenti che devono essere affrontati.
In riferimento al processo indicato dalla normativa ISO 29134 che indica di effettuare un’analisi dei dati personali che stiamo trattando, finalizzata a quantificare quali possano essere gli impatti sugli interessati al trattamento conseguenti ad una qualsiasi alterazione dei dati stessi.
Per alterazione di un dato personale si intende così come indicato nel GDPR art. 32 paragrafo 1 sezione b) una violazione della riservatezza, dell’integrità e della disponibilità (nel seguito parametri RID).
Si cercherà quindi di fornire una sequenza semplice di passaggi fondamentali per arrivare alla coerente valutazione dei parametri RID con riferimento ai dati utilizzati in azienda e ai documenti che contengono i dati di carattere personale, particolare o di tipo giudiziario tanto per richiamare la classificazione data dal Regolamento UE 679/2016 negli art. 9 e 10.
In relazione ai parametri RID si può notare come queste tre caratteristiche siano correlate al tema della sicurezza dei dati e riguardano informazioni di qualsiasi natura (digitale e cartacea) e i relativi asset come applicazioni informatiche, database, archivi documentali cartacei e altri strumenti di archiviazione.
Dunque in questa fase, la valutazione deve tenere in considerazione come un’alterazione delle tre caratteristiche appena citate (che possono configurare un data breach) possano rappresentare rischi elevati e un impatto sulla libertà degli interessati.
Individuazione dei trattamenti di dati personali effettuati
Il primo passaggio è individuare all’interno della propria azienda o organizzazione i trattamenti e a tal proposito ricordiamo che il trattamento è, secondo l’articolo 4 del GDPR, “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.”
Andando ad analizzare questo articolo e cercando di fornire un chiarimento sulle parole espresse cercheremo di esplicitare i termini indicati parafrasando le azioni indicate.
- Raccolta: acquisizione del dato in base alle finalità previste dal titolare del trattamento.
- Registrazione: memorizzare i dati su un qualsiasi supporto digitale oppure trascrivere i dati su supporti cartacei.
- Organizzazione: classificare i dati secondo un metodo ben preciso interno all’azienda.
- Strutturazione: distribuire i dati secondi schemi precisi per un utilizzo all’interno dell’organizzazione.
- Conservazione: tenere archiviate le informazioni su un qualsiasi supporto cartaceo o digitale.
- Consultazione: leggere i dati personali anche con una semplice visualizzazione.
- Elaborazione: modificare in modo sostanziale il dato personale subisce una modifica sostanziale.
- Selezione: individuare specifici dati personali nell’ambito di gruppi di dati più ampi.
- Estrazione: estrapolare dei dati da gruppi già memorizzati.
- Raffronto: confrontare i dati, sia conseguentemente ad una elaborazione o una consultazione.
- Utilizzo: qualsiasi attività generica che riguarda qualsiasi tipo di impiego di dati.
- Interconnessione: utilizzare più banche dati con l’impiego di strumenti elettronici.
- Blocco: conservare i dati sospendendo temporaneamente ogni altra operazione di trattamento.
- Comunicazione (o cessione): consiste nel dare conoscenza di dati personali a uno o più soggetti determinati diversi dall’interessato come ad esempio al responsabile o agli incaricati. In caso di comunicazione il dato viene trasferito a terzi, ed è quindi attività particolarmente delicata.
- Diffusione: dare conoscenza dei dati a soggetti indeterminati, in qualunque forma. Si compie un atto di diffusione anche quando si pubblica online, ad esempio una fotografia su un social network. In assenza di un comprovato consenso tale attività è da ritenersi illecita.
- Cancellazione: eliminare i dati tramite utilizzo di strumenti elettronici.
- Distruzione: eliminare in modo definitivo i dati ossia distruggendo meccanicamente i documenti cartacei che contengono dati oppure eliminando in maniera coerente i dati memorizzati su supporti digitali.
Solo per fare un esempio esplicativo dei trattamenti che possono prendere parte del registro all’interno di un’azienda di tipo commerciale troveremo fatture di vendita, documenti di trasporto, buste paga, contratti di collaborazione, attestati di formazione dei dipendenti, per aziende invece che operano ad esempio nell’assistenza agli anziani avremo tipologie di trattamenti contenenti dati di tipo particolare come cartelle cliniche, certificati medici, piani terapeutici che naturalmente dovranno avere criteri di protezione più stringenti ed elevati
A questo punto seguendo le indicazioni provenienti dal Garante per la protezione dei dati personali e rivolti alle Pmi per ogni trattamento adottato in azienda occorrerà compilare un’opportuna scheda che contiene oltre ai dati del titolare del trattamento e dell’eventuale responsabile della protezione dei dati le seguenti informazioni:
- Tipologia di trattamento: per esempio buste paga, fatture, certificati medici, ecc.
- Finalità e basi legali del trattamento: per es. rapporto di lavoro, gestione del cliente per quanto riguarda le finalità ed invece consenso, pubblico interesse, esigenza contrattuale in relazione alle basi legali.
- Categorie di interessati: per es. clienti, dipendenti, fornitori, amministratori.
- Categorie di dati personali: nome, cognome, codice fiscale, Iban, ecc.
- Categorie di destinatari: per es. enti pubblici, responsabili del trattamento, incaricati al trattamento.
- Trasferimento di dati verso paesi terzi: da specificare se dentro o fuori la UE anche in relazione alla dislocazione di sistemi di backup in cloud.
- Termini ultimi di cancellazione dei dati: riferimento alle norme che impongono la tenuta dei dati per almeno dieci anni.
- Misure di sicurezza tecniche e organizzative: le misure adottate per prevenire e mitigare la compromissione dei parametri RID.
A questo punto, una volta completate tutte le schede relative a ogni trattamento entriamo in una fase molto importante perché permette al titolare del trattamento di dare un giudizio oggettivo sulla propria organizzazione e permette di analizzare una serie di parametri in riferimento al trattamento analizzato e che consente successivamente di decidere se effettuare una mirata valutazione d’impatto.
Analisi e valutazione di impatto dei dati personali trattati
Finora abbiamo parlato di riservatezza, integrità e disponibilità senza spiegare cosa esprimono questi termini in relazione ai dati personali trattati. Vediamo di chiarire il concetto con le definizioni che seguono.
Riservatezza: è il grado in cui l’accesso alle informazioni è limitato a un gruppo preventivamente definito ed autorizzato ad avere questo accesso.
Integrità: è il grado con cui le informazioni sono aggiornate e sono prive di errori (sia intenzionali che accidentali). L’integrità è caratterizzata da due aspetti che sono: correttezza delle informazioni e completezza delle informazioni.
Disponibilità: è il grado in cui le informazioni sono disponibili all’utente e al sistema informativo nel momento in cui queste vengono richieste.
Chiarito questo concetto è necessario proseguire con l’analisi dando una valutazione a ogni trattamento in riferimento ai parametri di riservatezza, integrità e disponibilità in base ad un livello basso, medio, alto e critico dei rischi analizzati e all’impatto che questi potrebbero avere se fossero compromessi. Tali parametri devono essere conseguentemente parametrati all’organizzazione o azienda che li gestisce e agli interessati coinvolti, veri detentori dei dati, fondamentali al fine di determinare l’eventuale impatto che ne può discendere in caso di compromissione delle informazioni.
Una scala di valutazione in quattro livelli
Per poter effettuare una valutazione oggettiva, è opportuno adottare una metrica e delle linee guida. Ad esempio è possibile adottare una scala di valutazione in quattro livelli (1= basso, 2= medio, 3= alto, 4= critico) specificando per ciascuno di essi e per ciascuna delle caratteristiche RID (Riservatezza, Integrità, Disponibilità) le linee guida di attribuzione.
Cercando di schematizzare possiamo riportare le seguenti indicazioni utili per valutare in modo univoco i trattamenti da analizzare e l’impatto che possono avere nei confronti degli interessati.
Tipologia di impatto: basso
Impatto per violazione RID: gli individui possono andare incontro a disagi minori, che supereranno senza alcun problema (tempo trascorso reinserendo informazioni, fastidi, irritazioni, ecc.).
Tipologia di impatto: medio
Impatto per violazione RID: gli individui possono andare incontro a significativi disagi, che saranno in grado di superare nonostante alcune difficoltà (costi aggiuntivi, rifiuto di accesso ai servizi aziendali, paura, mancanza di comprensione, stress, disturbi fisici di lieve entità, ecc.).
Tipologia di impatto: alto
Impatto per violazione RID: gli individui possono andare incontro a conseguenze significative, che dovrebbero essere in grado di superare anche se con gravi difficoltà (appropriazione indebita di fondi, inserimento in liste nere da parte di istituti finanziari, danni alla proprietà, perdita di posti di lavoro, citazione in giudizio, peggioramento della salute, ecc.).
Tipologia di Impatto: critico
Impatto per violazione RID: gli individui possono subire conseguenze significative, o addirittura irreversibili, che non sono in grado di superare (incapacità di lavorare, disturbi psicologici o fisici a lungo termine, morte, ecc.)
Altra analisi che è doveroso attuare è l’assegnazione dei valori, questa volta dal punto di vista dell’organizzazione che li gestisce e dalle problematiche che ne potrebbero derivare a seguito di una loro compromissione. Indicando con un livello 1 (basso) laddove i dati non presentano particolari requisiti di riservatezza ossia i dati sono pubblici si può arrivare fino ad un livello 4 (critico) ove l’eventuale diffusione delle informazioni ha elevati impatti sul business dell’organizzazione o sul rispetto della normativa vigente o sull’immagine dell’organizzazione tali da compromettere la sostenibilità della stessa.
Vediamo anche in questo caso di schematizzare la valutazione come segue.
Valore numerico assegnato: 1
Tipologia di impatto: Basso
Impatto per violazione RID: i dati non presentano particolari requisiti di riservatezza. I dati sono pubblici. I dati non presentano particolari requisiti di integrità. I dati gestiti non fanno parte di transazioni economiche, finanziarie o sanitarie. L’indisponibilità dei dati oltre i tempi stabiliti contrattualmente non comporta multe o penali rilevanti.
Valore numerico assegnato: 2
Tipologia di impatto: Medio
Impatto per violazione RID: i dati devono essere riservati per ragioni di business (concorrenza sleale, danni all’immagine), ma un’eventuale loro diffusione non ha elevati impatti sul business dell’organizzazione, sul rispetto della normativa vigente o sull’immagine dell’organizzazione. I dati non sono oggetto di transazioni di tipo economico, finanziario o sanitarie con impatti sul business di un’impresa. La mancanza di integrità dei dati non ha elevati impatti sulle attività operative o sul rispetto della normativa vigente. L’indisponibilità dei dati oltre i tempi stabiliti contrattualmente comporta multe o penali non particolarmente rilevanti.
Valore numerico assegnato: 3
Tipologia di impatto: Alto
Impatto per violazione RID: i dati devono essere riservati per ragioni di business (concorrenza sleale, danni all’immagine) e un’eventuale loro diffusione ha elevati impatti sul business dell’organizzazione, sul rispetto della normativa vigente o sull’immagine dell’organizzazione. I dati non sono oggetto di transazioni di tipo economico, finanziario o sanitarie con impatti sul business di un’impresa. La mancanza di integrità dei dati ha elevati impatti sulle attività operative o sul rispetto della normativa vigente. L’indisponibilità dei dati oltre i tempi stabiliti contrattualmente comporta multe o penali rilevanti.
Valore numerico assegnato: 4
Tipologia di impatto: Critico
Impatto per violazione RID: la diffusione delle informazioni ha elevati impatti sul business dell’organizzazione o sul rispetto della normativa vigente o sull’immagine dell’organizzazione tali da compromettere la sostenibilità dell’organizzazione. La mancanza di integrità delle informazioni ha elevati impatti sul business aziendale o sul rispetto della normativa vigente tali da compromettere la sostenibilità dell’organizzazione. L’indisponibilità dei dati oltre i tempi stabiliti contrattualmente comporta multe o penali che mettono in pericolo la sostenibilità economica e di immagine o hanno impatti sulla sicurezza delle persone fisiche.
Naturalmente andrà indicato un valore di impatto per ciascuna dei tre parametri citati. Tale differenziazione è importante perché consentirà, in seguito, di effettuare delle valutazioni differenziate sulla base delle minacce e dei controlli individuati.
Al termine dell’assegnazione dei parametri a tutti i trattamenti precedentemente individuati occorre realizzare una valutazione di impatto privacy per tutti quei casi previsti dall’articolo 35 del GDPR ossia “Quando un tipo di trattamento allorché prevede in particolare l’uso di nuove tecnologie considerati la natura, l’oggetto, il contesto e le finalità del trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.
L’analisi prosegue poi con l’individuazione delle minacce e l’analisi dei controlli effettuati al fine di avere un quadro completo e coerente della situazione (passaggi 3 e 4) per arrivare all’atto conclusivo di predisposizione di un coerente piano di gestione (passaggio 5) e mitigazione del rischio.