L’articolo 35 del Regolamento UE 2016/679 introduce il processo di valutazione d’impatto sulla protezione dei dati e consultazione preventiva(Data Protection Impact Assessment o DPIA).
La DPIA è una attività di analisi dei rischi che ha come obiettivo quello di valutare le minacce e le vulnerabilità che insistono sugli asset aziendali i quali, essendo connessi ai dati personali, costituiscono un valore da proteggere. Al termine della fase di analisi, l’Organizzazione deve essere in grado di valutare per ogni asset il livello di rischio al quale riferirsi per poi stabilire se accettarlo o se gestirlo attraverso l’applicazione di opportune contromisure.
Onde evitare di esporre l’Organizzazione a possibili rischi di violazione dei dati, la DPIA va svolta prima di qualsiasi attività di trattamentoavendo chiari una serie di fattori quali l’origine, la natura, la probabilità, la gravità del rischio, l’ambito di applicazione, il contesto e le finalità del trattamento stesso.
La DPIA va eseguita con sistematicità ogni qualvolta si è in presenza di un cambiamento significativo all’interno della Organizzazione, ad esempio a seguito della introduzione di un nuovo asset che ha impatto sui dati. Sebbene, la DPIA sia rivolta prevalentemente agli archivi/documenti cartacei e a tutti i sistemi informativi attraverso i quali vengono trattati i dati personali, è buona prassi estendere tale approccio a tutti gli asset presenti all’interno della Organizzazione (processi, servizi, banche dati, hardware, ecc.) e non solo a quelli che hanno rilevanza ai fini del Regolamento generale sulla protezione dei dati personali (RGPD).
Ma quali sono le Organizzazioni tenute ad effettuare la DPIA? Secondo le “linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del regolamento 2016/679”, l’obbligo ricade quando:
-
si è in presenza di una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
-
vi sia un trattamento, su larga scala, di categorie particolari di dati personali (art.9 par.1), o di dati relativi a condanne penali e a reati (art.10);
-
è prevista una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Vi sono inoltre alcuni fattori che determinano la necessità o meno di effettuare una DPIA come il volume di dati trattati, lo stato patrimoniale dell’Organizzazione, la necessità di trasferire i dati verso Paesi situati al di fuori dell’Unione Europea e il livello di rischiosità che è funzione della:
-
natura del dato trattato (personale o particolare);
-
eventualità di diffondere il dato pubblicamente;
-
eventualità di divulgare il dato a un numero rilevante di persone.
Chi è il responsabile del processo? La responsabilità della DPIA spetta al titolare del trattamento il quale ha facoltà di coadiuvarsi con altre figure coinvolte nel RGPD come il Data Processor Officer (DPO) e i vari Responsabili del trattamento al fine di individuare misure atte a mitigare il rischio che incombe sui dati.
In relazione ai molti elementi in comune con RGPD, vediamo ora quali sono le fasi da intraprendere per valutare i rischi di possibili violazioni sui dati secondo lo standard internazionale ISO 27001:
-
In primo luogo è necessario procedere con il censimento degli asset (o gruppi di essi laddove sussistano requisiti di omogeneità) secondo una opportuna classificazione (tipologia, ubicazione, ecc.) che ne determini il loro valore;
-
In secondo luogo è necessario associare gli asset ai dati da proteggere attribuendo a questi ultimi dei valori di soglia in termini diriservatezza, integrità e disponibilità;
-
Quindi si procede con la individuazione e la successiva valutazione delle minacce che incombono sugli asset e quindi sui dati ad essi collegati; l’individuazione delle minacce è una operazione tipicamente riposta in tutti quei referenti della Organizzazione (tecnici, organizzativi, commerciali, amministrativi, legali) che per competenza ed esperienza sono in grado di mettere in relazione le minacce con eventi accaduti in passato anche in contesti simili a quello di riferimento; mentre la valutazione di una minaccia significa attribuire ad essa il livello di probabilità di accadimento secondo una scala predefinita;
-
Il passo successivo richiede l’individuazione di una serie di controlli di tipo tecnico e/o organizzativo in grado di rilevare in funzione del loro stato di applicazione il livello di vulnerabilità presente su ciascun asset; una maggiore rispondenza al requisito richiesto dal controllo determina un minor livello di vulnerabilità;
-
Combinando il valore degli asset (2) e la probabilità di accadimento di una minaccia (3) si ottiene il “rischio intrinseco” il quale, moltiplicato per il valore della vulnerabilità (4), consente di ottenere il “livello di rischio” per un dato asset;
-
Al termine dei calcoli, il livello di rischio ottenuto deve essere riesaminato ed eventualmente trattato (piano di trattamento del rischio);
-
Il piano di trattamento può essere avviato nei casi in cui ad esempio insorgono variazioni di rischio nell’ambito di determinate attività di trattamento per cui si rende necessario riesaminare le misure intraprese (controlli) per poi valutare se accettare il rischio per un dato asset, ovvero porre in essere una serie di azioni per ridurlo, trasferirlo o magari condividerlo con altri stakeholder.
Il procedimento sopra descritto può essere affrontato in modalità manuale mediante il supporto di fogli di calcolo, ovvero attraverso soluzioni software che supportino maggiormente le aziende nella DPIA e, più in generale, per soddisfare i requisiti normativi richiesti da RGPD. Tuttavia, sebbene tali strumenti possano ritenersi utili, l’efficacia della DPIA non può prescindere dal coinvolgimento di figure specialistiche che, per comprovata esperienza siano in grado di guidare le aziende nella gestione dell’intero ciclo di vita del processo di conformità al RGPD.
Comments are closed, but trackbacks and pingbacks are open.