Il risk assessment nelle procedure di data breach - Riskmanagement

Compliance

Il risk assessment nelle procedure di data breach

Il GDPR impone al titolare del trattamento l’adozione di un comportamento proattivo finalizzato a prevenire, per quanto possibile, situazioni potenzialmente dannose per l’interessato. Esaminiamo tutti i passaggi necessari

16 Feb 2021

Gaetano Mastropierro

consulente privacy e antiriciclaggio, Dpo (Generale della Guardia di Finanza in congedo)

Alfredo Sanfelice

consulente privacy e antiriciclaggio, Dpo - Referente Assodata per la provincia di Roma

L’analisi e la gestione del rischio rappresentano uno dei momenti centrali della disciplina della protezione dei dati personali che è tutta orientata alla difesa dei diritti e delle libertà degli interessati. Il GDPR in tal senso impone al titolare del trattamento l’adozione di un comportamento proattivo finalizzato a prevenire, per quanto possibile, situazioni potenzialmente dannose per l’interessato, come, ad esempio, un data breach.

Affinché tale comportamento possa attuarsi è necessario:

  • realizzare la valutazione dei rischi in relazione a ciascun trattamento,
  • adottare le conseguenti misure di mitigazione del rischio (ex art. 32 del GDPR),
  • svolgere, in caso di rischio residuo ancora elevato, una valutazione di impatto (Data Protection Impact Assessment ex art. 35 del GDPR).

I riferimenti al rischio e alla necessità di una sua valutazione sono contenuti, però, anche negli artt. 33 e 34 del GDPR, in tema di violazione dei dati personali. È indispensabile, infatti, valutare preliminarmente la severità di un data breach prima di effettuare la notifica all’Autorità di controllo o la comunicazione agli interessati di una violazione dei dati. Senza un’attenta valutazione del rischio in termini di impatto sarebbe, infatti, molto difficile per il titolare del trattamento decidere se procedere, a seguito di un data breach, alla menzionata notifica e comunicazione.

Ma esattamente di che tipo di analisi di rischio parliamo e quale portata ha questa analisi?

Proveremo ad approfondire questo tema (ancora forse poco esplorato), esaminando nel dettaglio le procedure che in genere vengono adottate in sede di data breach management. Cercheremo, inoltre, di mettere in luce quali sono gli aspetti più critici che si riscontrano su tale aspetto nella pratica corrente.

Il data breach: riferimenti normativi

Il data breach è quel termine di origine anglosassone che indica la realizzazione di una violazione dei dati. Secondo la definizione fornita dal GDPR, una violazione dei dati personali è qualsiasi evento che comporti, in modo accidentale o illecito, “..la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati..”. La materia, nel dettaglio, è disciplinata dal GDPR con:

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Business Analytics
Business Intelligence
  • l’art. 33, in cui si prescrive che la notifica della violazione da parte del titolare all’Autorità di controllo deve essere realizzata “a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche”;
  • l’art. 34, in cui viene prevista la comunicazione della violazione all’interessato solo quando la violazione stessa “è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Sull’argomento sono intervenute, altresì, le Linee guida sulla notifica delle violazioni dei dati personali del WP29 del 3 ottobre 2017 (emendate in data 6 febbraio 2018) e, successivamente, il Provvedimento del Garante n.157 del 30 luglio 2019, che ha anche introdotto uno specifico Modello notifica Data Breach (1).

Il Garante italiano

Nella sezione del proprio sito dedicata al data breach, il Garante ha pubblicato appositi elementi divulgativi e di approfondimento sul tema (2) ed il 23 dicembre 2020 ha lanciato, altresì, un nuovo servizio on-line per supportare i titolari del trattamento nell’assolvimento degli obblighi in materia di notifica di una violazione accedendo ad una procedura di autovalutazione.

In tale procedura, come pure nei diversi documenti di approfondimento pubblicati, il Garante non propone o suggerisce metodi specifici per individuare e quantificare gli effetti avversi che si possono verificare nei confronti degli individui, limitandosi a specificare che devono avere una significatività tale da rendere necessaria la notifica e la comunicazione.

Al fine di fornire alcuni indirizzi pragmatici vengono, comunque, effettuati richiami agli esempi di violazioni contenuti nelle menzionate Linee Guida (sia a quelle che potrebbero non presentare rischi per gli interessati sia a quelle tipologie di violazioni che invece comportano un rischio elevato per le persone fisiche).

Quale supporto per la valutazione del rischio, oltre a suggerire di valutare i fattori individuati dal WP29, l’Autorità di controllo richiama l’utilità delle Raccomandazioni in merito a una metodologia di valutazione della gravità di una violazione dei dati personali elaborate dall’ENISA.

Il WP29: Linee Guida del 2017 (agg. al 2018)

Le Linee Guida del WP29 del 2017, richiamando i Considerando 75 e 76 del GDPR (3), sottolineano come nella valutazione del rischio si “dovrebbero” prendere in esame tanto la probabilità quanto la gravità del rischio per i diritti e le libertà degli interessati. Il rischio in questo senso “dovrebbe” essere valutato in base a una valutazione oggettiva (4).

È necessario evidenziare, però, come la valutazione del rischio a seguito di una violazione (ex art. 33) prenda in considerazione il rischio in maniera diversa rispetto al risk assessment dell’art. 32 e alla valutazione d’impatto di cui all’art.35 del GDPR. In questi ultimi casi ciò che viene valutato è il rischio derivante dall’eventuale concretizzazione di un evento ipotetico.

Nel caso di una violazione effettiva, l’evento in realtà si è già verificato, quindi l’attenzione si concentra esclusivamente sul rischio risultante dell’impatto di tale violazione sulle persone fisiche. Di conseguenza, nel valutare il rischio per le persone fisiche derivante da una violazione, il titolare del trattamento deve considerare solo le circostanze specifiche della violazione, inclusa la gravità dell’impatto potenziale e la probabilità che tale impatto si verifichi.

Il “Gruppo di lavoro art. 29” in tale ottica raccomanda che la valutazione tenga conto dei seguenti criteri:

  • Tipo di violazione,
  • Natura, carattere sensibile e volume dei dati personali,
  • Facilità di identificazione delle persone fisiche,
  • Gravità delle conseguenze per le persone fisiche,
  • Caratteristiche particolari dell’interessato,
  • Caratteristiche particolari del titolare del trattamento di dati,
  • Numero di persone fisiche interessate,
  • Aspetti generali.

Una volta accertata l’avvenuta realizzazione di un data breach, il titolare, in sostanza, deve effettuare la valutazione del rischio e prendere la decisione più adeguata circa la necessità di realizzare la notifica/comunicazione. È indispensabile, però, che tale valutazione sia supportata da idonea documentazione. Detta documentazione andrà poi archiviata e messa a disposizione dell’Autorità di controllo in caso di richiesta.

Proprio riguardo a detta valutazione le Linee Guida rinviano alle Raccomandazioni elaborate dall’ENISA (Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione) (5). Le menzionate raccomandazioni contengono una metodologia operativa per determinare il livello di gravità di una violazione necessario per gestire le fasi successive alle violazioni.

data breach

Le procedure di data breach management

Vediamo in sintesi come si strutturano nella prassi corrente le procedure adottate per la gestione delle violazioni dei dati personali. Dette procedure sono tendenzialmente strutturate sue due macro-argomenti:

  • Ruoli e responsabilità;
  • Modalità operative.

Le procedure rinviano, inoltre, a una serie di allegati che costituiscono dei templates da utilizzare in sede di data breach.

Ruoli e responsabilità nelle procedure di data breach

In tale sezione vengono identificati gli “attori” coinvolti nelle varie attività con l’indicazione dei relativi compiti. I ruoli menzionati in tale occasione in genere sono:

  • L’incident manager

È quella particolare funzione che in genere coincide con il designato interno al trattamento di dati personali, in base ad apposita nomina e delega di funzioni, nella cui sfera di competenza si è verificato l’evento dalla violazione. L’Incident manager svolge le seguenti attività: 1) rappresenta la propria area operativa in caso di escalation, attivando le procedure per la gestione del data breach, 2) monitora lo stato di avanzamento della gestione del data breach, assicurandosi che siano stati presi in carico, e risolti correttamente, i vari aspetti (tracciatura completa delle informazioni a supporto), 3) assicura che le figure di riferimento aziendali coinvolte si attengano strettamente al processo di gestione del data breach definito nella procedura, 4) valuta il livello di emergenza insieme agli owner dei trattamenti impattati, 5) si interfaccia con il DPO e collabora con lo stesso nella gestione del data breach, 6) predispone report periodici interni sugli eventi di propria competenza.

  • Data protection officer

Ha il compito di supportare l’Incident manager nella classificazione di un incidente di sicurezza come data breach e fornisce al titolare un parere sulla valutazione dell’impatto dell’evento sui dati personali degli interessati oggetto del data breach. Ha il compito, altresì, di supportare il titolare nella redazione e nell’invio, all’Autorità Garante, della notifica del data breach e nella eventuale comunicazione agli interessati.

  • Responsabile IT

Qualora la violazione interessi le reti, i sistemi e/o i servizi informatici, il responsabile IT ha il compito, una volta rilevata la violazione, di fornire senza ritardo tutte le informazioni necessarie per inquadrare l’accadimento e predisporre l’eventuale notifica all’Autorità Garante e/o la comunicazione agli interessati. Ha inoltre il compito di adottare, sentito il Data Breach Committee, le misure tecniche e organizzative necessarie a mitigare gli effetti della violazione, ripristinare la sicurezza dei dati ed evitare nuove violazioni. In caso di indifferibile urgenza, qualora non sia possibile informare preventivamente il DBC (Data Breach Committee), il Responsabile IT può adottare immediatamente le azioni necessarie a contenere la violazione e/o a mitigarne gli effetti, informando il Titolare e il DBC stesso alla prima occasione utile.

  • Data Breach Committee

Ha il compito di supervisionare le azioni intraprese nella gestione degli eventi di data breach. È composto dalle seguenti figure: Incident Manager, DPO, Funzione Privacy, Responsabile ICT, (qualora la violazione interessi le reti, i sistemi e i servizi informatici) più altri soggetti individuati dal Titolare in base al tipo di violazione e al contesto operativo (es. Responsabile della sicurezza fisica, Responsabili del trattamento ex art. 28 GDPR, consulenti esterni, ecc.).

  • Titolare del trattamento

Il Titolare del trattamento, con la collaborazione e/o per tramite del DPO, ha il compito di comunicare con l’interessato (ossia la persona fisica cui si riferiscono i dati personali) e con il Garante per la protezione dei dati personali.

  • Responsabile del trattamento

Il Responsabile tratta i dati personali per conto del Titolare del trattamento, ed ha la responsabilità di informare il Titolare, senza ingiustificato ritardo, di ogni data breach effettivo o potenziale, di assistere il Titolare nel garantire il rispetto degli obblighi normativi definiti dal Garante, e di supportarlo fornendo ogni informazione disponibile ritenuta necessaria dal Titolare del trattamento.

Modalità operative nelle procedure di data breach

Nella sezione “Modalità operative” viene inoltre inserito un paragrafo dedicato alla Valutazione del rischio associato al data breach. In tale sede vengono delineate le attività da realizzare a seguito della rilevazione di un incidente di sicurezza classificabile come data breach. Tra le varie indicazioni è prassi fare riferimento alla metodologia da utilizzare per la valutazione del rischio connesso alla violazione dei dati personali. Precisiamo che il titolare del trattamento non è obbligato ad utilizzarne qualcuna di specifico, tuttavia si tende a fare riferimento (e ad adottare) metodologie standardizzate emanate a livello internazionale. Tra di esse sono utilizzabili quelle dell’ICO (Garante Inglese), del DPC (Garante irlandese), dell’AEDP (Garante spagnolo) ovvero quelle dall’ENISA, che ha pubblicato, come evidenziato in precedenza, le “Recommendations for a methodology of the assessment of severity of personal data breaches” (ed. 2013).

Allegati

Le richiamate procedure riportano, infine:

  • un allegato, consistente in un template di “Valutazione del rischio”, che si presenta come una sorta di check-list guidata per riepilogare i contenuti della valutazione (descrizione tecnica della violazione, riferimenti temporali della violazione, luogo della violazione, descrizione dei sistemi di elaborazione e/o memorizzazione dei dati coinvolti, con indicazione della loro ubicazione, persone colpite dalla violazione dei dati personali trattati nell’ambito della/e banche dati, caratteristiche particolari dei soggetti interessati, attività realizzate e misure organizzative e tecnologiche assunte e/o da assumere, natura e tipologia dei dati oggetto di violazione).
  • un allegato, che riporta un “Modello comunicazione data breach”, da utilizzare in sede di comunicazione all’Autorità Garante per la protezione dei dati personali.

La metodologia di valutazione del rischio dell’Enisa

Vediamo ora i passaggi fondamentali della metodologia Enisa. L’obiettivo è quello di guidare il titolare del trattamento nell’utilizzo di appositi parametri quantitativi necessari per effettuare la valutazione complessiva della violazione (6). In proposito vengono:

  • fornite indicazioni (nella misura in cui ciò sia possibile) per valutare la gravità delle violazioni dei dati,
  • illustrati degli esempi per rendere più chiara l’applicazione concreta dei metodi di calcolo (7).

L’avvertenza che viene fornita è quella che la richiamata metodologia non può ovviamente coprire tutte le possibili casistiche, compresi i probabili impatti di casi particolari o di gruppi specifici di individui. I titolari del trattamento e le autorità competenti devono pertanto prestare particolare attenzione nel trattare i casi che, per la loro specificità, non possono essere correttamente valutati utilizzando lo standard Enisa.

La formula elaborata dall’Enisa, per determinare in modo più oggettivo possibile la gravità del data breach, tiene in considerazione tre fattori:

  • Contesto del trattamento (DPC – Data Processing Context), ossia il tipo di dati violati in relazione al contesto in cui essi si trovano. il DPC costituisce il nucleo centrale della metodologia e valuta in sostanza la criticità di un set di dati in un dato contesto di elaborazione.

Per definire il punteggio del DPC il Titolare del trattamento deve seguire i seguenti passaggi:

Fase 1: Definizione e classificazione dei tipi di dati personali

  1. Definizione dei tipi di dati personali coinvolti nella violazione;
  2. Classificazione dei dati in almeno una delle quattro categorie individuate (semplice, comportamentale, finanziaria, dati sensibili). Queste categorie sono spiegate in dettaglio nell’Allegato 1 alle Raccomandazioni Enisa.

Fase 2: Adeguamento in base a fattori contestuali relativi all’elaborazione dei dati:

  1. Valutazione di alcuni fattori che potrebbero aumentare o diminuire il punteggio di base (data volume, caratteristiche particolari dei titolari o delle persone fisiche, invalidità/inesattezza dei dati, disponibilità pubblica (prima della violazione, natura dei dati),
  2. Se sono presenti detti fattori, si deve aumentare/diminuire di conseguenza il punteggio di base. La metodologia Enisa riporta quindi la “tabella di valutazione 1” che fornisce le scale di aggiustamento per ciascuna categoria di dati, nonché illustra alcuni esempi che potrebbero portare a punteggi più bassi o più alti.

In questo modo si ottiene un preliminare punteggio del DPC.

L’elenco delle tipologie di dati descritti nelle quattro categorie non è esaustivo, tuttavia la maggior parte dei dati possono indicativamente essere abbinati ad almeno una delle predette categorie. Al riguardo si fa rinvio all’Allegato 1 delle Raccomandazioni ove sono riportati, per ognuno dei fattori contestuali EI, i relativi punteggi.

  • Facilità di identificazione (EI – Ease of Identification) della persona interessata in base ai dati violati. L’indice di facilità di identificazione valuta quanto sarà facile per una parte, che ha accesso al set di dati, abbinarli in modo univoco a una determinata persona. L’indice di facilità di identificazione può essere considerato come un fattore di correzione del DPC (Contesto del trattamento). La criticità complessiva di una violazione dei dati può essere ridotta, quindi, a seconda del valore EI. In altre parole, minore è la facilità di identificazione, minore è il punteggio complessivo.

Il punteggio relativo al parametro EI si andrà a collocare in uno dei quattro livelli progressivi identificati (trascurabile, limitato, significativo e massimo). Il punteggio più basso si ottiene quando la possibilità di identificare l’individuo è trascurabile, significando che è estremamente difficile abbinare i dati a un file/persona in particolare, ma potrebbe comunque essere possibile in determinate condizioni. Il punteggio più alto corrisponde, invece, al caso in cui l’identificazione è possibile direttamente dai dati violati senza che siano necessarie ricerche speciali per scoprire l’identità dell’individuo.

Anche in questo caso si fa riferimento all’Allegato 2 delle Raccomandazioni ove sono riportati esempi specifici di EI ed i relativi punteggi attraverso l’utilizzo di identificatori comuni.

  • Circostanze della violazione (CB – Circumstances of breach). Dette circostanze influiscono ulteriormente sulla gravità della violazione. Il CB quantifica le circostanze specifiche della violazione che possono essere presenti o meno in una particolare situazione. Gli elementi considerati ai sensi del CB sono la perdita di sicurezza (riservatezza, integrità e disponibilità) e gli intenti dannosi. Questi fattori sono complementari al DPC (contesto del trattamento) ed all’EI (alla facilità di identificazione). Quindi, se presente, il CB può solo aumentare la gravità di una specifica violazione. Per questa ragione il punteggio iniziale può essere ulteriormente modificato dal CB (circostanze della violazione). L’intento dannoso è un fattore che aumenta la probabilità che i dati vengano utilizzati in modo “dannoso”. Il punteggio CB (contrariamente a DPC ed EI, dove viene scelto il punteggio massimo raggiunto) viene sommato al prodotto dei fattori precedenti per ottenere il punteggio finale. Al riguardo si fa rinvio all’Allegato 3 delle Raccomandazioni ove sono riportati esempi specifici concernenti il punteggio per il CB.

Il calcolo finale della valutazione della gravità, in definitiva, viene ottenuto attraverso la seguente formula:

Gravità dell’impatto = contesto del trattamento x facilità di identificazione + circostanze della violazione

Il risultato si collocherà in un certo intervallo di valori che corrisponde a uno dei quattro livelli di gravità: basso, medio, alto e molto alto, così come segue:

Gravità di una violazione dei dati
SE <2 Basso Gli individui non saranno interessati o potrebbero incontrare alcuni inconvenienti, che supereranno senza problemi (tempo speso per reinserire informazioni, fastidi, irritazioni, ecc.).
2 ≤ SE <3 medio Gli individui possono incontrare notevoli inconvenienti, che saranno in grado di superare nonostante alcune difficoltà (costi extra, rifiuto di accesso ai servizi aziendali, paura, mancanza di comprensione, stress, disturbi fisici minori, ecc.).
3 ≤ SE <4 Alto Gli individui possono incontrare conseguenze significative, che dovrebbero essere in grado di superare anche se con gravi difficoltà (appropriazione indebita di fondi, inserimento nella lista nera da parte delle banche, danni alla proprietà, perdita del lavoro, mandato di comparizione, peggioramento della salute, ecc.).
4 ≤ SE Molto alto Gli individui potrebbero incontrare conseguenze che potrebbero non superare (difficoltà finanziarie come debiti ingenti o incapacità lavorativa, disturbi psicologici o fisici a lungo termine, morte, ecc.).
Fonte: ENISA. Recommendations for a methodology of the assessment of severity of personal data breaches. Working Document, v1.0, December 2013 (pag. 6)

A determinate soglie, quindi, scatterà la notifica e/o la comunicazione agli interessati.

Criticità riscontrabili nelle procedure di data breach management

Ruoli e responsabilità

Avuto riguardo a questo ambito l’accortezza che si deve osservare è quella di verificare il perfetto allineamento delle indicazioni contenute nella procedura di gestione del data breach con le prescrizioni contenute negli atti di nomina dei soggetti che sono compartecipi delle attività connesse all’eventuale valutazione delle circostanze collegate alla violazione.

In questo senso l’incident manager, e gli altri soggetti indicati nella sezione “Ruoli e responsabilità”, devono essere sempre dettagliatamente informati dei loro specifici compiti. L’errore che si compie in tali circostanze è quello di indicare prescrizioni molto generiche e di non illustrarle ai diretti interessati. Le prescrizioni della procedura presuppongono, invece, la necessaria conoscenza dei suoi contenuti specifici e l’indicazione del puntuale percorso metodologico definito dal titolare del trattamento per mettere in pratica le azioni conseguenti al data breach.

Tra i compiti del responsabile della protezione dati spesso è previsto che lo stesso debba realizzare la valutazione dell’impatto dell’evento sui dati personali degli interessati oggetto del data breach. In merito va osservato che l’effettuazione materiale della valutazione di impatto della violazione non dovrebbe rientrare tra i compiti del DPO in quanto si tratta di un incarico da attribuire ad una funzione operativa. Residuerebbe, invece, in capo al DPO l’azione di controllo sul corretto svolgimento della valutazione nonché la possibilità di fornire un parere, se richiesto (in analogia a quanto previsto dall’art.39, 1 parag. lett. c) del GDPR in tema di valutazione di impatto).

Anche l’atto di nomina del responsabile IT si presenta spesso genericamente strutturato. Poiché tale ruolo assume la doppia veste di responsabile della sicurezza informatica e di “designato” interno (incident manager), sarebbe necessario dettagliare compiutamente i compiti relativi alla specifica funzione.

Modalità Operative

Le procedure di data breach management, come è stato in precedenza evidenziato, contengono spesso il riferimento all’adozione della metodologia Enisa. In realtà il riferimento a detta metodologia non trova in talune occasioni una sua pratica e coerente applicazione perché non vengono illustrati nel dettaglio i passaggi metodologici da seguire.

La sezione dedicata a tale aspetto tende a caratterizzarsi, infatti, per un’eccessiva sintesi ed un’estrema genericità di contenuti. Nella fase applicativa i soggetti coinvolti nelle attività di rilevazione e valutazione della violazione potrebbero non avere riferimenti precisi e univoci su come operare. In sostanza è necessario che le procedure di data breach management consentano di conoscere, in modo preventivo e standardizzato, l’iter metodologico da seguire per addivenire a conclusioni basate su presupposti oggettivi, in grado di:

  • permettere al titolare del trattamento di valutare, in accountability, se realizzare o meno la comunicazione di cui all’art. 33 del GDPR,
  • e, all’Autorità di controllo, di verificare i presupposti su cui si è realizzata detta valutazione.

Il riferimento alla metodologia Enisa in talune occasioni si sostanzia, invece, in un generico cenno alle modalità con cui operare. A questo punto il soggetto incaricato avrebbe il compito teorico (ed ingrato) di mettere in pratica le iniziative indicate nella procedura dopo aver letto e interpretato le Raccomandazioni presenti su Internet (in inglese).

Gli allegati

Anche la sezione dedicata agli allegati deve essere oggetto di meticolosa valutazione e attenzione. Può accadere infatti che i form richiamati siano incompleti, incoerenti rispetto alla metodologia illustrata ovvero non corretti. L’allegato concernente la Valutazione del rischio data breach deve essere controllato al fine di verificare il corretto riferimento ai parametri ENISA. Anche il modello per la notifica al Garante deve essere controllato perché deve corrispondere a quello indicato dalla menzionata Autorità. Alcune volte le informazioni richieste nei due allegati sono sostanzialmente uguali e, in pratica, si presentano come dei doppioni.

Sistema disciplinare

La procedura di data breach riporta in alcuni casi il riferimento al sistema disciplinare. In sostanza viene previsto che chiunque non ottemperi alle prescrizioni della suddetta procedura potrebbe incorrere nei provvedimenti disciplinari previsti dal CCNL. Questa specifica indicazione, però, non è talvolta trasfusa nei vari atti di nomina riguardanti i dipendenti che, a qualsiasi titolo, siano interessati dalle disposizioni aziendali in oggetto.

Conclusioni

Le problematiche rappresentate evidenziano come in molti casi la valutazione della gravità dell’impatto sia realizzata in modo destrutturato e, in un’ottica di semplificazione, senza utilizzare criteri di calcolo oggettivi. Per molte organizzazioni si rende necessario, quindi, rivisitare in modo sostanziale la procedura in questione al fine di integrarla con riferimenti precisi e univoci. Beninteso, la norma non obbliga all’adozione di una specifica prassi operativa, tuttavia è necessario definire uno schema operativo chiaro, completo e metodologicamente corretto. Detto schema dovrà essere portato a conoscenza (in modo formale) di tutti i soggetti interessati, prevedendo opportune sessioni formative per spiegare le attività che devono essere svolte in tali frangenti. È necessario, altresì, prevedere un riallineamento puntuale della richiamata procedura con le varie nomine inerenti ai soggetti coinvolti nei data breach, definendo in modo meno generico i loro compiti.

Note
  1. Presente all’indirizzo Url del Garante: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9128501.
  2. https://www.garanteprivacy.it/regolamentoue/approccio-basato-sul-rischio-e-misure-di-accountability-responsabilizzazione-di-titolari-e-responsabili e https://www.garanteprivacy.it/regolamentoue/databreach.
  3. Il considerando 76 del GDPR vorrebbe addirittura che il rischio venisse “considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato”.
  4. Posti S., Valutazione d’impatto privacy e ISO 29134: linee guida per una corretta realizzazione della DPIA, in Cybersecurity360 del 9 marzo 2020. https://www.cybersecurity360.it/legal/privacy-dati-personali/valutazione-dimpatto-privacy-e-iso-29134-linee-guida-per-una-corretta-realizzazione-della-dpia/. L’Autore al riguardo sottolinea quanto sia importante in sede di valutazione dei rischi utilizzare metodologie oggettive: “…Chi si occupa di valutazione dei rischi, dunque, sa bene che al fine di ridurre il più possibile il margine di errore o di interpretazione soggettiva degli scenari, è essenziale l’utilizzo di riferimenti standard, possibilmente approvati e ufficiali, anche per esigenze di rappresentazione di garanzia e affidabilità nell’esecuzione di tali delicati processi…”.
  5. Tale ente è preposto a sviluppare consigli e raccomandazioni sulle buone pratiche in informazioni di sicurezza.
  6. In questo senso, la metodologia non può sempre coprire tutto la possibile casistica, compresi i probabili impatti su gruppi specifici di individui o casi molto speciali che non può essere affrontato completamente con una metodologia generale. Pertanto, è necessario ricordarlo si dovrebbe prestare particolare attenzione nel trattare i casi in relazione alle loro specificità
  7. La gravità di una violazione dei dati personali è definita, nel contesto di questa metodologia, come “Stima dell’entità del potenziale impatto sugli individui derivata dai dati violazione”.

WEBINAR
14 Ottobre 2021 - 12:00
Zero Trust Network Access: la nuova architettura per la sicurezza informatica
Manifatturiero/Produzione
Sicurezza
@RIPRODUZIONE RISERVATA
M
Gaetano Mastropierro
consulente privacy e antiriciclaggio, Dpo (Generale della Guardia di Finanza in congedo)
S
Alfredo Sanfelice
consulente privacy e antiriciclaggio, Dpo - Referente Assodata per la provincia di Roma

Articolo 1 di 5