Valutazione del rischio e misure di sicurezza nel GDPR, quali adempimenti per i titolari

Secondo la norma del Regolamento europeo, il titolare, qualora si presenti un rischio elevato, prima di procedere al trattamento dei dati deve effettuare una valutazione di impatto.

03 Feb 2020

Giuseppe Palmiotto

Commercialista, consulente Privacy e Data Protection

Con la valutazione del rischio per i diritti e le libertà degli interessati, il GDPR all’articolo 35 paragrafo 1 introduce un nuovo criterio rispetto alla precedente normativa, finalizzato a consentire al titolare del trattamento di dimostrare di aver rispettato la disciplina vigente inerente al trattamento dei dati.

Recita l’art. 35, paragrafo 1 del GDPR: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.”

Inoltre, con riferimento alla valutazione di impatto, il considerando 84 prevede: “Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio. L’esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo”.

Impatto o conseguenza nella valutazione del rischio?

È interessante, prima di procedere, spendere qualche parola sul concetto di impatto, troppo spesso confuso con quello di conseguenza. Due termini a volte usati quali sinonimi, ma che nel contesto in cui ci muoviamo rappresentano invero concetti prodromici che presiedono a conclusioni diametralmente opposte e che, se non ben definite, andranno a definire il perimetro delle misure di sicurezza che potranno risultare inadeguate o eccedentarie rispetto al reale livello di rischio evidenziato.

In entrambi i casi si andrà a ingenerare un “impatto” negativo nell’articolazione aziendale.

Nel primo caso, con l’adozione a regime di procedure che non tutelano l’interessato e quindi non garantiscono il titolare da ricadute sanzionatorie. Nel secondo caso, l’adozione di misure di sicurezza spropositate rispetto ai rischi evidenziati andranno a incidere negativamente sul costo di implementazione delle misure stesse.

Impatto

Elemento riferibile a una dimensione ben definita

Conseguenza

Elemento privo di dimensione

La conseguenza è un elemento privo di dimensione, l’impatto è un elemento che sebbene collegato alla conseguenza si riferisce a una dimensione ben definita.

Facciamo un esempio.

La conseguenza di un evento correlato a un processo può essere rappresentata dalla perdita, dalla distruzione, dalla modifica, dalla divulgazione e/o accesso non autorizzato di un dato. Ma la perdita del dato personale di un solo interessato definisce il perimetro di un impatto diverso dalla perdita dei dati personali di tutti i clienti.

La consapevolezza del diverso significato tecnico fra impatto e conseguenza indurrà a segnare la linea di demarcazione fra le “cose che servono” e quelle che “andrebbero fatte”, sempre che il titolare non decida di applicare “consapevolmente”, nella definizione delle misure di sicurezza correlate al livello di rischio evidenziato, il principio “nel più c’è il meno e non il contrario”.

Modello di organizzazione e gestione della protezione dei dati

Partiamo dall’assunto che l’adozione di un modello di organizzazione e di gestione della protezione dei dati ha lo scopo ultimo di definire le procedure che presiedono i comportamenti dei soggetti che trattano i dati e coinvolti dall’articolazione del titolare e dei responsabili. In coerenza con i principi di privacy by design e by default e per determinare le misure adeguate per mitigare il rischio (accettare, ridurre, trasferire o rimuovere), l’articolo 25 del Regolamento europeo, e in maniera più incisiva il considerando 78, suggeriscono di acquisire le necessarie conoscenza e la necessaria consapevolezza dello scenario e del contesto del trattamento attraverso l’adozione di un modello organizzativo.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

“La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”. (considerando 78)

Tale approccio conduce il titolare a descrivere le attività poste in essere per assicurare la conformità al GDPR e il relativo approccio metodologico utilizzato, oltre agli aspetti di governance, risk management e compliance applicabili alla protezione dei dati personali con la finalità di definire, oltre ai dati generali del titolare: gli ambiti del trattamento, i soggetti coinvolti, la tipologia e le categorie di dati trattati, la valutazione del livello di rischio, la mappatura dei processi, le minacce evidenziate e i relativi rischi correlati, le misure di sicurezza adeguate al livello di rischio evidenziato e relative procedure operative, il rischio residuo e quindi la eventualità di ricorrere alle previsioni di cui all’art. 36, l’attività formativa ovvero il piano per attuare le istruzioni da impartire ai soggetti coinvolti nell’articolazione di titolare e responsabili e per finire, un piano di audit sul rispetto del modello organizzativo e sulla efficacia delle misure di sicurezza adottate che attraverso una costante azione di monitoraggio sulla corretta attuazione di tale sistema in conformità ai requisiti normativi applicabili in materia di protezione dei dati personali ne garantisca la “compliance”. Di seguito si propone un workflow per la organizzazione e la gestione della protezione dei dati finalizzata a migliorare la consapevolezza, l’ottimizzazione dei processi e il miglioramento continuo mediante la standardizzazione dei metodi di lavoro e la disponibilità di strumenti di verifica.

1 Descrizione del titolare e del contesto in cui opera
2 Definizione degli ambiti (divisione omogenee) in cui i vari trattamenti vengono eseguiti nell’articolazione del titolare. È consigliabile definire un ambito per ciascun responsabile e per ciascun rapporto di contitolarità.
3 Individuazione degli asset
4 Individuazione dei soggetti coinvolti (addetti e responsabili)
5 Individuazione dei principi di liceità
6 Individuazione dei trattamenti in ciascun ambito
7 Mappatura dei processi relativi ai trattamenti che insistono in ciascun ambito
8 Definizione del livello di rischio
9 Definizione dei rischi correlati ai processi individuati
10 Definizione delle misure di sicurezza adeguate al livello di rischio evidenziato o scelto dal titolare.
11 Definizione delle misure di sicurezza obbligatorie e indipendenti dal livello di rischio evidenziato o scelto dal titolare corrispondenti alla garanzia dei diritti degli interessati e al trasferimento dei dati in paesi terzi.
12 Redazione delle procedure relative alle misure di sicurezza definite
13 Attuazione delle misure di sicurezza logiche, fisiche e organizzative attraverso l’adeguamento degli asset e attraverso interventi di formazione mirata
14 Monitoraggio sulla corretta attuazione di tale sistema in conformità ai requisiti normativi applicabili in materia di protezione dei dati personali ne garantisca la “compliance”.

È nata prima la valutazione di impatto o la valutazione del rischio?

La valutazione del rischio è uno scenario che descrive un evento e il suo impatto stimato in termini di gravità e probabilità. Il regolamento europeo sulla protezione dei dati prevede che i titolari del trattamento e il responsabile del trattamento mettano in atto misure logiche, fisiche e organizzative adeguate al livello di rischio evidenziato adeguate a garantire ed essere in grado di dimostrare costantemente il rispetto di detto regolamento, tenendo conto dei “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” (articolo 24 paragrafo 1).

Il rischio è così definito come la combinazione della probabilità che un evento si verifichi e dell’impatto che esso può avere. Per valutare il livello di rischio occorrerà stimare a stimare impatto e probabilità.

L’obbligo per i titolari del trattamento e dei responsabili di effettuare una valutazione del rischio prima di procedere al trattamento va inteso nel contesto dell’obbligo di gestire adeguatamente i rischi presentati dal trattamento di dati personali (considerando 90 e 93). Questo al fine di determinare se il trattamento deve prevedere misure in grado di mitigare i rischi (accettare, ridurre, trasferire o rimuovere) ed assicurare la conformità del trattamento al regolamento europeo prima che trattamenti privi di questa consapevolezza rechino danni ai diritti ed alle libertà degli interessati.

Rischio = Impatto x Probabilità

Nonostante siano oggetto di innumerevoli pubblicazioni, trattati e dibattiti, prendiamo ancora una volta in esame l’articolo 35 del Regolamento europeo, ma questa volta dal punto di vista specifico del calcolo del rischio. La valutazione del rischio è uno scenario che descrive un evento e il suo impatto stimato in termini di gravità e probabilità e si basa su una preventiva e sistematica analisi dei singoli processi di trattamento.

Facciamo chiarezza.

  • la valutazione di impatto misura i rischi relativi ai diritti e libertà dei soggetti interessati 
  • la valutazione dei rischi misura i rischi relativi ai trattamenti dei dati personali.

Articolo 35 GDPR  e considerando 75, 84 e 89

Gli elementi su cui il titolare può intervenire per delineare la dimensione delle misure di sicurezza da adottare ai sensi dell’art. 32 sono probabilità e impatto.

I diritti e le libertà si misurano attraverso i rischi derivanti dalla divulgazione/accesso non autorizzato, dalla modifica e dalla perdita/distruzione e non potrebbe essere diversamente.

L’art. 32 ci dice che ogni titolare è tenuto a una valutazione preliminare dell’impatto quando sono eseguiti trattamenti connotati da alto rischio. Il rischio è un concetto che contiene già la rilevanza dell’impatto rapportato alle misure atte a diminuire probabilità di incidente e vulnerabilità del processo. Fra l’altro anche l’art. 35 con riferimento ai rischi per le libertà ed i diritti si riferisce alla valutazione di impatto e non anche alla valutazione del rischio.

Ma la valutazione del rischio è cosa diversa dalla valutazione di impatto di cui all’articolo 35 poiché l’impatto utile a definire il rischio per il trattamento dei dati (rischio = impatto x probabilità) viene realizzato su cluster differenti da quelli usati per la valutazione di impatto per i diritti e le libertà degli interessati poiché differenti sono gli obiettivi di analisi da conseguire.

Questa delucidazione evita di cadere nell’apparente conflitto logico che una lettura superficiale dell’art. 35 potrebbe indurre a determinare laddove si potrebbe ipotizzare che essendo il rischio il prodotto fra impatto e probabilità, risulterebbe privo di nesso di continuità calcolare il rischio per definire la necessità della valutazione di impatto, quando la prima per essere definita necessita della determinazione della seconda.

Fra l’altro di questa lettura ce ne dà conferma anche l’art. 36 che al primo comma sancisce il principio della consultazione preventiva.

Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

Step 1 Definizione dell’operazione di trattamento e del suo contesto. Vengono definiti i perimetri dei trattamenti dei dati effettuati dal titolare o dal responsabile attraverso l’individuazione delle operazioni di trattamento, la definizione delle tipologie di dati trattati (art 4, 8, 9 e 10), le finalità, gli strumenti utilizzati per il trattamento dei dati personali, gli asset impiegati, le categorie di soggetti interessati e i destinatari dei dati oggetto di trattamento.
Step 2 Comprensione e valutazione dell’impatto Il titolare del trattamento o il responsabile valuta l’impatto sui diritti e sulle libertà fondamentali delle persone fisiche sul trattamento considerato derivanti da: perdita di riservatezza, perdita di integrità, perdita di disponibilità. A ciascun evento verrà attribuito un livello di impatto secondo un numero di valori indicativo da 3 a 5 che il titolare deciderà di applicare (basso, medio, elevato, ecc). Dopo questa valutazione, saranno ottenuti tre diversi livelli di impatto. Il più alto di questi livelli è considerato come il livello di riferimento della valutazione dell’impatto e relativo al trattamento complessivo dei dati personali dell’ambito preso in considerazione.
Step 3 Definizione di possibili minacce e valutazione della loro probabilità (probabilità di occorrenza della minaccia). Il titolare del trattamento o il responsabile definisce le minacce correlate ai processi che insistono nel contesto complessivo del trattamento dei dati personali e valuta la loro probabilità di accadimento relative a quattro diverse aree di valutazione, ovvero: risorse e applicazioni IT, processi e procedure relativi all’operazione di trattamento dei dati, soggetti coinvolti nel trattamento nell’articolazione del Titolare/responsabile; Settore di operatività e scala del trattamento. Come per lo Step 2, il livello di probabilità di occorrenza della minaccia sarà definito a ciascuna delle aree di valutazione, un numero di valori indicativo da 3 a 5 che il titolare deciderà di applicare (basso, medio, elevato, ecc).
Step 4 Valutazione del rischio (combinando la probabilità di accadimento della minaccia e l’impatto). Dopo aver definito i valori di impatto e probabilità di occorrenza della minaccia rilavante, sarà possibile definire il livello di rischio (Lordo) secondo la matrice definita dal titolare/responsabile.
Step 5 Misure di sicurezza A seguito della definizione del livello di rischio e la scelta del livello di rischio, il titolare/responsabile procederà a definire le misure di sicurezza a cui rapportare le misure di sicurezza appropriate alla propria organizzazione.
Step 6 Definizione del rischio residuo A seguito dell’attuazione delle misure di sicurezza il titolare/responsabile potrà rilevare eventuali carenze che lasciano un rischio residuo. Se lo stesso dovesse risultare elevato il titolare/responsabile attuerà le disposizioni previste all’art. 36 del regolamento europeo.

Misure adeguate e misure obbligatorie

L’ art. 24 del GDPR introduce le misure di sicurezza disponendo che il titolare del trattamento e il responsabile debbano adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso. Più avanti, l’art. 32 del GDPR si occupa nello specifico della sicurezza del trattamento dei dati personali. Secondo il combinato disposto degli artt. 24 e 32 del GDPR il titolare e il responsabile del trattamento dei dati personali dovranno predisporre ed attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al livello di rischio evidenziato.

Pare comunque condivisibile annoverare fra le misure di sicurezza a cui il titolare e il responsabile si devono attenere, oltre a quelle “adeguate” anche quelle di natura “obbligatoria”, vale a dire tutte le prescrizioni richieste dagli articoli 12 a 23 incluso (diritti degli interessati) e quelle del capo V (trasferimento di dati verso paesi terzi o organizzazioni internazionali).

Le misure “obbligatorie”, devono essere sempre garantite dal titolare o dal responsabile del trattamento nella misura piena perché non possono prescindere dal livello di rischio evidenziato.

WHITEPAPER
Covid-19: come rispettare le regole senza fermare lo sviluppo del mercato?
Sanità
Risk Management

P
Giuseppe Palmiotto
Commercialista, consulente Privacy e Data Protection

Articolo 1 di 5