Perché valutare il rischio per la protezione dati
Sebbene il Regolamento UE 679/2016 (ormai più noto con l’acronimo inglese, GDPR) indichi diverse volte la necessità di effettuare una valutazione dei rischi che incombono sui dati personali, in molte organizzazioni non c’è una chiara evidenza di un processo documentato di valutazione dei rischi che abbia portato ad intraprendere determinate azioni e misure di sicurezza.
Già all’art. 25 (Privacy-by-design & privacy-by-default), comma 1, il GDPR ci indica la necessità di effettuare una valutazione dei rischi:
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
E all’art. 32 (Sicurezza del trattamento), comma 1, riprende:
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative ade-guate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: ….
Ancora all’art.35 (Valutazione di impatto), comma 1, viene indicata la necessità di valutare un rischio:
Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del tratta¬mento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
Per non parlare poi della “Notifica delle violazioni dati”, del trasferimento di dati extra-UE e di tutti i considerando che citano i rischi.
Ma come dare evidenza della valutazione dei rischi? E di quali rischi stiamo parlando?
Il processo di valutazione dei rischi sul trattamento dei dati personali è orientato a valutare – e mitigare, se non ridurre al minimo – tutti i rischi per i diritti e le libertà dell’interessato che si possono verificare a fronte di un trattamento di dati personali.
Se poi, a valle di una valutazione dei rischi si ottiene un rischio elevato per i diritti e le libertà dell’interessato, allora sarà necessario condurre anche una valutazione di impatto sul trattamento che è risultato di rischio elevato. Questo al netto delle altre condizioni che possono portare a condurre comunque una valutazione di impatto, come imposto dal GDPR stesso e dalle indicazione dei Garanti nazionali.
Per essere coerenti con quanto disposto dal Regolamento occorre valutare i rischi analizzandone gravità delle conseguenze e probabilità di accadimento, come ci indica l’articolo 32.
Un buon modo per affrontare la valutazione dei rischi è sicuramente costituito dall’opportunità di riferirsi a standard internazionali per la valutazione dei rischi, come le norme della serie ISO 31000 (cfr. UNI ISO 31000:2018 – Gestione del rischio – Principi e linee guida).
Dunque, scartando le valutazioni dei rischi privacy svolte un po’ “a sentimento” ed in modo discorsivo e piuttosto sbrigativo, come se ne vedono in diverse organizzazioni, vediamo come condurre una valutazione dei rischi che possa metterci al sicuro da sanzioni. Se non altro per aver seguito un ragionamento coerente, basato su dati di fatto e valutazioni oggettive giustificabili.
Premesso che la valutazione dei rischi (o risk assessment) è per lo più una valutazione soggettiva che non pretende di misurare in maniera oggettiva il livello di rischio assoluto, ma semplicemente di stabilire le priorità, mettere in fila i rischi per stabilire, poi, su quali agire con azioni di mitigazione e quali reputare accettabili.
La metodologia di valutazione del rischio
Nel processo di risk assessment privacy vengono considerati i seguenti attributi dei dati personali (o degli archivi, banche dati di dati personali):
- RISERVATEZZA: il dato deve essere accessibile solo a chi è autorizzato a conoscerlo.
- INTEGRITÀ: i dati devono essere integri, esatti e coerenti.
- DISPONIBILITÀ: i dati devono essere sempre disponibili alle persone autorizzate quando necessario.
Pertanto, tutti i rischi che possono derivare da trattamenti non conformi ai requisiti normativi sulla protezione dei dati personali possono essere indirizzati ad una o più dei suddetti attributi delle informazioni personali gestite.
In ambito privacy sono considerati solo i rischi relativi al trattamento dei dati personali che hanno impatto sugli interessati (danni materiali ed immateriali). Sono escluse dal contesto tutte le conseguenze di rischi che non hanno impatti sui dati personali.
Le sorgenti di rischio nell’ambito del trattamento di dati personali possono riguardare:
- personale interno all’organizzazione: dipendenti, collaboratori, ecc.
- persone esterne all’organizzazione: fornitori, concorrenti, terze parti, ecc.
- risorse tecnologiche: virus informatici, malfunzionamenti e crash di sistemi, ecc.
- eventi naturali e non naturali (causati dall’uomo): terremoti, incendi, alluvioni, ecc..
Il processo di valutazione dei rischi comprende le seguenti fasi, descritte nel seguito del presente documento:
- Identificazione dei rischi
- Analisi e ponderazione dei rischi
- Identificazione e valutazione delle opzioni per il trattamento dei rischi
- Attuazione di controlli per il trattamento dei rischi
- Accettazione/Trattamento dei rischi residui.
Il regolamento ci invita a valutare il rischio con l’ormai nota formula R= f(G, P) dove spesso la funzione è semplicemente una moltiplicazione dei parametri Gravità e Probabilità, misurati attraverso una scala quali-quantitativa (1, 2, 3,… valori che corrispondono a valutazioni del tipo Basso, Medio, Alto…). Tuttavia, restano ancora molti dubbi su come approcciare la valutazione dei rischi per essere ragionevolmente tranquilli della conformità del processo.
Al di là della teoria molto estesa disponibile sull’argomento (le metodologie di risk assessment sono molto diffuse in diversi settori ed ambiti), sono stati pubblicati dei modelli pratici per valutare il rischio privacy. Si va dal Modello VERA (Very easy risk assessment) ideato da @Cesare Gallotti per la gestione del rischio ISO 27001 (sicurezza delle informazioni) da cui è stato mutuato un “modello VERA Privacy”, al modello di risk assessment dell’ENISA, poi modificato da @Stefano Posti e @Cristina Cecere (Metodologia Smart).
Proviamo ad esaminare quanto di buono hanno questi modelli e quanto possono essere applicabili nelle organizzazioni anche di medio-piccole dimensioni che però trattano dati personali abbastanza critici.
Quali sono i rischi privacy?
Tenuto conto che il Regolamento UE indica di tenere in considerazione i rischi derivanti da:
- Distruzione
- Perdita
- Modifica
- Rivelazione o divulgazione
- Accesso non autorizzato
in modo illegale o accidentale, a dati personali trasmessi, conservati o comunque elaborati. Possiamo fermarci a queste macro categorie di rischio? In alcune situazioni la risposta può essere affermativa, ma va inquadrato con l’approccio giusto tutto il processo di valutazione del rischio.
Occorre pertanto partire dai trattamenti di dati personali, ovvero dal registro dei trattamenti, la cui definizione è un prerequisito per la definizione di una valutazione dei rischi privacy.
Alcuni modelli di risk assessment privacy partono dai trattamenti e, per ogni trattamento, elaborano una valutazione del rischio in funzione di minacce, vulnerabilità, probabilità di verificarsi delle minacce e relativo impatto/conseguenza.
Il modello ENISA (e la sua revisione Smart di @Stefano Posti) partono proprio dai trattamenti, formulando un esempio relativo al trattamento dei dati del personale dipendente, comune a tutte le organizzazioni.
Prima di illustrare la metodologia è bene evidenziarne subito le criticità: partendo dai trattamenti dovremo elaborare una valutazione dei rischi – piuttosto articolata – per ogni singolo trattamento; ovvero l’analisi dovrà essere ripetuta con i medesimi step per tutti i trattamenti. Va da sé che se i trattamenti individuati sono molteplici, l’analisi dei rischi diventa un esercizio piuttosto dispendioso di energie. Da un lato bisognerebbe avere un Registro con pochi trattamenti, ovvero raggruppare singole attività di trattamento in processi di trattamento più generali (ad es. la “gestione del personale” deve costituire un unico trattamento senza scomporlo in tante attività che lo compongono: elaborazione buste paga, organizzazione del personale, gestione formazione del personale, assunzione nuovo personale, ecc.), dall’altro si rischia di replicare le stesse considerazioni ed analisi su rischi di origine ICT che incombono su tutti i trattamenti o quasi. Questo perché le minacce che provengono dagli strumenti informatici (virus, attacchi hacker, violazione di dati…dovuti a vulnerabilità della gestione dei dati digitali) probabilmente sono le medesime per diversi trattamenti che prevedono la gestione attraverso la stessa infrastruttura IT, gli stessi software gestionali.
Altra carenza del modello ENISA sopra citato è il seguente: lo schema per la valutazione del rischio ENISA vale principalmente per i rischi in materia di sicurezza dei dati, ma il GDPR fa riferimento, in modo più generale, ai “rischi per i diritti e le libertà delle persone fisiche”. Dunque – come evidenziato nel “Manuale del RPD” del progetto T4DATA – ci potrebbero essere rischi per i diritti e le libertà dell’interessato che non sono legati alla sicurezza del dato, ovvero alla sua perdita di riservatezza/integrità/disponibilità, bensì sono insiti in un trattamento particolarmente a rischio.
Tale trattamento potrebbe essere uno di quelli compresi fra quelli per i quali è necessaria una valutazione di impatto (DPIA) che, seppur svolto seguendo buone prassi di protezione dei dati, per sua natura, potrebbe comportare ugualmente rischi per i diritti e le libertà dell’interessato. Tra essi vi sono, ad es. la sorveglianza sistematica di zone accessibili al pubblico, il trattamento su larga scala di dati particolari, specialmente se si utilizzano nuove tecnologie (app mobili, sistemi di geolocalizzazione, ecc.), profilazione, ecc.
Dunque, abbiamo dei rischi legati alla sicurezza del trattamento e rischi legati alla valutazione di impatto sui diritti e le libertà dell’interessato. Nello specifico quali potrebbero essere questi rischi? Alcuni esempi possono essere dedotti dalle varie Linee Guida sulla Valutazione d’impatto:
- Discriminazione
- Furto d’identità
- Decisioni ingiuste derivanti da profilazione
- Mancata concessione di un credito
- Limitazione all’esercizio della libertà di espressione
- Spamming
- Telefonate indesiderate
Per tutti i trattamenti che ricadono sotto la valutazione di impatto secondo l’art. 35 del GDPR occorre comunque effettuare una valutazione di impatto.
Altri rischi, non necessariamente legati alla sicurezza dei dati, possono incombere sui diritti e le libertà dell’interessato e, di conseguenza, costituire un rischio di compliance privacy per il titolare/responsabile del trattamento. Tra essi ricadono:
- L’impossibilità – per l’interessato – di esercitare i propri diritti di accesso, modifica e cancellazione dei dati personali
- Il trasferimento dati personali fuori UE senza adeguate garanzie
- La raccolta di dati eccedente le finalità
- La conservazione di dati per un tempo eccessivo
- Le informative e consensi incomplete, inesatte o comunque inadeguate
Tutte situazioni che possono comportare reclami dell’interessato oppure istanze al GPDP con eventuale richiesta di risarcimento danni.
Nella determinazione dei rischi privacy ci si potrebbe fermare ad alto livello, identificando i fattori di rischio suggeriti dal Regolamento UE 679 all’art. 32 (vedi sopra: Distruzione, Perdita, Modifica, Divulgazione…) oppure individuare l’effetto finale per la persona fisica provocato dall’evento avverso: discriminazione, ricatti, danni morali, furto d’identità, impossibilità di accedere ad un servizio per indisponibilità dei dati,…
Il primo approccio è, tutto sommato, quello adottato dal modello VERA privacy precedentemente citato, anche se i suddetti fattori di rischio sono “incrociati” con una serie di minacce che incombono sui dati, sia in formato digitale, sia su supporto cartaceo.
Un approccio intermedio potrebbe essere basato sulla determinazione di 10-15 rischi “classici” che derivano da un’analisi delle minacce e delle vulnerabilità possibili, calcolando il valore del livello di rischio per ogni rischio, indipendentemente dai trattamenti sui quali impatta o, meglio, considerando globalmente tutti i trattamenti che possono essere affetti dal rischio, considerando il caso peggiore.