Misure di Sicurezza e Risk Management nel GDPR Componenti del processo di analisi e gestione del rischio di protezione deidati personali

Enrico TOSOMilano, 29 GENNAIO 2016

#READY4EUDATAP

#READY4EUDATAP

“Da un lato, è cambiato il rapporto tra il diritto alla riservatezza e la tutela

di altri valori, primi fra tutti il diritto alla sicurezza (...); da un altro lato, lo

sviluppo dei sistemi di telecomunicazione offre continuamente nuove

possibilità di acquisizione, conservazione, utilizzazione dei dati e delle

informazioni, a costi sempre più contenuti.

L'incrocio di questi fenomeni è il terreno sul quale la protezione dei dati è

costantemente sfidata. Questo ci spinge a svolgere in modo nuovo il

nostro ruolo e ad estendere le frontiere oltre il puro presidio del diritto

individuale. Il nostro sforzo e' orientato a proteggere più che a

prescrivere, ad avvisare e informare più che vietare, a mettere tutti,

cittadini, istituzioni, imprese, organizzazioni sociali e culturali, di fronte ai

mutamenti del nostro tempo, aiutandoli a comprendere i fenomeni in atto

e ad essere più consapevoli dei rischi delle nuove tecnologie“

(G. Pizzetti)

#READY4EUDATAP

Premessa

Questo estratto ci introduce al tema che si pone il nuovo Regolamento, di

mediare tra interessi economici, utilizzo delle tecnologie e protezione

dei dati interpretando due contrapposizioni di fondo: da un lato impiegare

le tecnologie come servizio per favorire lo sviluppo degli scambi tutelando

i diritti degli interessati e, dall'altro, contrastare le minacce che sorgono

dal canale tecnologico e le insidie dei comportamenti malevoli

accrescendo la consapevolezza e la fiducia di tutti coloro che hanno

necessità di utilizzare o di trasferire i propri dati.

L’obiettivo è quello di far prevalere, grazie alla tecnologia, la soluzione

che coniuga esigenze opposte. La tecnologia da minaccia deve diventare

ed essere percepita come una protezione, come un vantaggio.

Questo e' il compito che ci sfida in questa sede perché intendiamo

parlare di analisi e gestione dei rischi e della messa a punto di uno

strumento di analisi per sostenere chi ha necessità di prendere

decisioni consapevoli muovendosi tra esigenze contrapposte.

#READY4EUDATAP

Riferimenti concettuali

Quando si parla di Dati Personali si intendono Informazioni relative a

Persone Fisiche, soggette ad un trattamento.

Cos’è la Privacy ?

E’ un diritto che ha ogni persona di salvaguardare la propria unicità, il senso

della propria individualità ovvero, in ultima analisi, tutti i dati che la riferiscono

univocamente.

Si puo’ vedere in due forme, a cui corrispondono diversi tipi di intrusione:

PRIVACY FISICA, che corrisponde alla possibilità di una persona di

controllare il proprio spazio fisico.

L’intrusione si può manifestare nell’altrui ricerca di un’intimità indesiderata o

nell’ingresso in una proprietà personale, in un’atto di interferenza fisica, in

un’azione di sorveglianza, nell’acquisizione non autorizzata di dati biometrici.

#READY4EUDATAP

Riferimenti concettuali

PRIVACY DELLE INFORMAZIONI, che corrisponde alla possibilità di

una persona di controllare, gestire, modificare o cancellare informazioni

di se stessa e decidere come e con quale estensione tali informazioni

possano essere comunicate all’esterno.

L’intrusione puo’ manifestarsi nella raccolta mirata di informazioni

personali, nella diffusione senza il consenso di informazioni personali,

nell’abuso di tali informazioni. Può includere la raccolta di informazioni,

attraverso il monitoraggio, su come l’individuo agisce in ambito pubblico o

privato, attraverso l'osservazione di comunicazioni postali, telefoniche o

informatiche, e si estende all'osservazione di chi ha originato o ricevuto la

comunicazione come pure del contenuto della comunicazione.

__________________________________________________________

Queste considerazioni ci introducono a usare il significato di intrusione

come minaccia e come componente del rischio.

#READY4EUDATAP

Analisi di rischio a partire dalla progettazione

Le analisi di rischio dettate da normative hanno finora richiesto di

valutare gli impatti sui processi e sui prodotti in esercizio.

Pensiamo, ad esempio, alle istruzioni di vigilanza di BankIt che

chiedono alle banche di presidiare e di gestire il rischio di

incorrere in sanzioni, perdite o danni di reputazione in

conseguenza di norme, di condurre attività di gestione dei rischi

operativi e informatici in particolare come controlli di secondo

livello sui processi, allo scopo di monitorare l'efficacia delle

misure di protezione delle risorse ICT e di stimare i costi in caso

di incidenti.

Nel caso del nuovo Regolamento Privacy è esplicito che l'analisi

dei rischi deve essere compiuta a partire dalle fasi di

progettazione di un prodotto o servizio pensando ai possibili

impatti che questo avrà quando sarà in esercizio.

#READY4EUDATAP

Occorre operare una separazione concettuale dei due tipi di

misure per comprendere un aspetto evolutivo del nuovo

Regolamento

E’ opportuno distinguere le attività e le soluzioni per la sicurezza

dei dati (riferite ad un ambito di gestione informatica dei dati in

genere) e le attività e le soluzioni per la protezione dei dati

(riferite ad un ambito pertinente ai dati personali)

Nell’attuale Codice sulla Protezione dei Dati Personali si parla di

misure minime (di sicurezza) e di misure idonee. Il riferimento e’

quasi esclusivamente fatto alla sicurezza dei dati e dei sistemi

informativi, intesi come strumenti prevalenti del trattamento

(benché nella definizione di trattamento oggi siano citati anche

quelli senza l’ausilio degli strumenti informatici).

Misure di sicurezza dei dati (Information Security)e misure di protezione dei dati (Data Protection)

#READY4EUDATAP

Attuali misure di protezione dei dati

Nell’attuale codice

- il concetto di "misure minime", intese come “il complesso delle

misure tecniche, informatiche, organizzative, logistiche e

procedurali di sicurezza che configurano il livello minimo di

protezione richiesto in relazione ai rischi previsti” (Art. 31), per

come sono dettagliate al capo II – Art. 33 e 34 e nell’Allegato B –

Disciplinare Tecnico, porta a concludere che il livello minimo di

protezione si attua mediante misure di sicurezza;

- le misure “idonee” devono invece essere identificate dal

Titolare sulla base della natura dei dati, delle caratteristiche del

trattamento e dello stato del progresso tecnico. In ogni caso è

già presente il concetto fondamentale che la misura deve essere

proporzionata al rischio.

#READY4EUDATAP

Nuove misure di protezione dei dati

Nel nuovo testo del GDPR gli aspetti di sicurezza (art. 30) e gli

aspetti di protezione (art. 33) dei dati vengono trattati in due

Sezioni diverse anche se in entrambi i casi viene riferita la

necessità di eseguire valutazioni di rischio. La novità è che

questa separazione permette di mettere meglio in evidenza le

nuove misure suggerite dal GDPR, che superano il concetto

quasi riduttivo di misure di sicurezza per diventare in modo più

appropriato vere misure di protezione.

Quelle che seguono sono soluzioni tecnologiche utili a

proteggere i dati personali esposti a un rischio elevato per i diritti

e le libertà delle persone fisiche, come rilevato a seguito di una

valutazione d’impatto.

#READY4EUDATAP

Nuove misure di protezione dei datiAnonimizzazione: è la rimozione o la mascheratura delle informazioni

personali quando non necessarie (ad esempio parliamo

di mascheratura dell’indirizzo IP per consentire

l’anonimizzazione degli indirizzi IP degli utenti)

Pseudonimizzazione: è la sostituzione dei riferimenti personali con

identificatori finti e la garanzia che le informazioni

aggiuntive per l'attribuzione dei dati personali ad un

interessato specifico siano conservate in metadati

separati.

Cifratura dei messaggi o degli archivi: è una codifica che rende

incomprensibili i dati acceduti tranne ai soli autorizzati

che possiedono la chiave di decifrazione

Controllo periodico, monitoraggio e correlazione degli eventi: nel

testo non è molto evidente e si incontrano solo riferimenti

al controllo da parte dell’interessato e al monitoraggio da

parte delle autorità di controllo; al Considerando 75 e

all’Art. 43 si parla del controllo “interno”, cioè a livello

aziendale, del rispetto del presente Regolamento in una

citazione piuttosto sintetica.

#READY4EUDATAP

Privacy by default – quali contenuti ?

Dove troviamo un riferimento operativo ai contenuti della Privacy

by default ? (di cui al Considerando. 61, 83 e all’ Art. 23)

Per un altro verso, il GDPR fa evolvere il concetto di misura

minima.

Occorre far riferimento all’Art. 5 dove viene arricchito l’insieme

dei princìpi generali che devono esser soddisfatti per qualunque

tipo di dato, per qualunque tipo di trattamento e per qualunque

finalità: questi aspetti ci portano al concetto di privacy by default.

#READY4EUDATAP

Privacy by default – quali contenuti ?

Possiamo sintetizzare queste misure nel rispetto dei principi di:

minimizzazione, liceità e trasparenza, compatibilità (dei

trattamenti alle finalità), sicurezza e contrasto all’uso illecito,

accuratezza e aggiornamento, periodo di conservazione,

prevalenza dell’interesse pubblico.

L’applicazione di queste misure necessarie non richiede

valutazioni preliminari d’impatto o analisi di rischio complesse.

Anche se in termini sommari, possiamo assumere che:

come l’attuale Codice Privacy richiede che le misure minime di

sicurezza (di cui agli art.33 34 35 36 e al Disciplinare Tecnico -

Allegato B) devono arricchirsi, quando necessario, di ulteriori

misure idonee così i principi generali riportati al Art. 5 e al

Considerando 61 del GDPR (e dunque la privacy by default)

devono integrarsi con le misure identificate grazie al processo di

analisi d’impatto (PIA).

#READY4EUDATAP

Analisi del rischio per la sicurezza dei dati

Un’attività di valutazione del rischio per la sicurezza dei dati va

svolta quando i trattamenti presentano rischi di violazione della

sicurezza, che derivano da:

- distruzione, perdita > DISPONIBILITA’

- modifica > INTEGRITA’ – AUTENTICITA’

- rivelazione non autorizzata > RISERVATEZZA

- accesso (non autorizzato) > RISERVATEZZA

sia accidentale sia illecita a dati personali che potrebbero

causare un danno (fisico, materiale, morale) agli interessati.

(da Art. 30)

#READY4EUDATAP

APPROCCIO PREDETERMINATO

Codici di condotta approvati in funzione di esigenze di settore,

certificazioni approvate, Linee Guida del Comitato Europeo per la

protezione dei dati, con riferimento a operazioni di trattamento che si

ritiene improbabile possano determinare un rischio elevato per i diritti e le

libertà delle persone fisiche, possono definire misure sufficienti

predisposte per far fronte a rischi predeterminati.

(da Consid. 60 quater, Art. 38)

Analisi del rischio per la protezione dei dati

#READY4EUDATAP

Analisi del rischio per la protezione dei dati

Tecnologia

disponibile

Esigenze di tutela

degli interessati

L’analisi del rischio connesso

al trattamento deve essere

valutato in base a:

- natura del trattamento

- oggetto del trattamento

- contesto del trattamento

- finalità del trattamento

-coefficiente di probabilità

dell'evento

-coefficiente di gravità

dell‘impatto in caso di

violazione dei diritti e delle

libertà delle persone fisiche

Misure tecniche

e organizzative

opportune

Dimostrazione di

adeguatezza

delle misure

Costi di

attuazione

(da Art. 33)

APPROCCIO RISK DRIVEN

#READY4EUDATAP

Abbiamo bisogno di un processo che consenta di

identificare le misure opportune di mitigazione attraverso

un processo strutturato di analisi e gestione del rischio

che parte dalla valutazione preventiva degli impatti.

Soluzioni opportune perché proporzionate alle finalità e

all’oggetto del trattamento, alle risorse tecniche

disponibili e agli impatti stimati, cioè proporzionate al

rischio. Questo e’ l’obiettivo del processo PIA.

Analisi del rischio per la protezione dei dati

#READY4EUDATAP

Un’attività di valutazione del rischio per la protezione dei dati

personali fa riferimento al Privacy Impact Assessment (PIA)

• Il PIA è un processo di valutazione di impatto delle operazioni di trattamento

previste sui dati personali, mirato alla minimizzazione del rischio privacy

• va eseguita quando si presenta un rischio elevato per i diritti e le liberta delle

persone fisiche (ad es. discriminazione, furto d'identità …) o altro danno

economico o sociale importante

• va eseguita rigorosamente prima di procedere al trattamento

• deve contenere la caratterizzazione di tutte le operazioni di trattamento

previste, una valutazione del rischio, le misure di sicurezza, le garanzie, i

controlli e le soluzioni necessarie alla protezione e alla sicurezza dei dati

personali

• deve dimostrare la conformità al Regolamento

• se gli esiti della valutazione dimostrano che il rischio residuo è elevato e non

mitigabile rispetto alla tecnologia disponibile / costi ragionevoli di attuazione,

occorre consultare l'Autorità di controllo fornendo le evidenze dell'analisi

PIA – Considerazioni preliminari

#READY4EUDATAP

• Il PIA e’ un processo codificato e strutturato in fasi dunque uno

strumento operativo, che aiuta le organizzazioni ad analizzare con

sistematicità, a individuare e a ridurre i rischi privacy per gli

individui interessati coinvolti dal rilascio di un nuovo progetto,

soluzione o regola.

• Il PIA e’ parte integrante dell’approccio Privacy by Design, anzi

aiuta ad assicurare che i problemi potenziali siano identificati

negli stadi iniziali del progetto, quando la possibilità di indirizzarli

è spesso più efficace e meno costosa

• Le fasi devono avere un ciclo ricorsivo per attualizzare la

valutazione fatta inizialmente a mano a mano che si procede con il

progetto e vengono attuate le misure pianificate.

PIA – Considerazioni preliminari

#READY4EUDATAP

• Il PIA si deve anche integrare con i processi di Project

Management definiti a livello aziendale; dunque e’ opportuno che

ogni organizzazione ne sviluppi un proprio modello in base alle

proprie necessità e lo correli con le pratiche operative di gestione

dei singoli progetti.

• Non sembra significativo eseguire un PIA su un servizio

esistente a meno che non sia necessario riesaminarlo, prima di

modificarlo, per assicurare che ci sia un'opportunità di farlo

evolvere in modo conforme. Dunque il PIA è anche un modo

efficace per rispondere agli obblighi normativi.

• Sarebbe assolutamente auspicabile lo sviluppo di una metodologia

settoriale in grado di mettere a fuoco quesiti mirati di analisi per

individuare rischi di privacy comuni e possibili soluzioni di settore.

PIA – Considerazioni preliminari

#READY4EUDATAP

PIA - Elementi in input dell’analisi

Per condurre un PIA dobbiamo raccogliere informazioni per rispondere a:

- su cosa verte il progetto: occorre evidenziare le nuove funzionalità che

verranno esposte, le interfacce che dovranno essere utilizzate, l'operatività

offerta o richiesta all'utente

- cosa deve essere garantito di default: in pratica le misure già previste in

rispetto ai principi generali dell’Art. 5 (allegato)

- cosa si propone il progetto: come intendiamo debba essere usato il nuovo

servizio, le finalità dei trattamenti, l'ambito di fruizione, i tipi di dati, i tipi di

trattamento

- come pensiamo che potranno essere ulteriormente trattati i dati (dovendo

sempre prefigurare possibili usi al di fuori dei trattamenti specificati)

- quale potrebbe essere un legittimo interesse del responsabile di trattare i dati

(es. monitorare il traffico) ai fini della sicurezza dei propri sistemi informatici

(reti e apparati) per prevenire gli eventi imprevisti e le frodi e per contrastare gli

illeciti.

#READY4EUDATAP

PIA - Elementi in output dell’analisi

#READY4EUDATAP

PIA – Sommario delle fasi

Le fasi del processo PIA possono essere condotte e registrate

secondo il seguente schema :

1 : Valutazione preliminare di opportunità per un PIA

2 : a. Descrizione dei flussi di informazioni

b. Ruoli e coinvolgimento dei partecipanti

3 : Identificazione dei rischi privacy e di quelli correlati

4 : Individuazione delle soluzioni e delle misure

5 : Approvazione delle decisioni e registrazione dei risultati

6 : Integrazione dei risultati del PIA nel piano di progetto

#READY4EUDATAP

PIA – Fase 1

Questa fase serve ad un’organizzazione :

• a spiegare ciò che il progetto intende realizzare, quali sono i benefici

attesi per l'organizzazione, per gli individui e per le altre parti

• a decidere, in base ad un insieme di domande mirate di screening, se

un PIA sia necessario (v. allegato)

• a dimensionare le risorse a seconda dell’entità del progetto e il tempo

necessario alla valutazione

• a capire gli impatti potenziali e i passi che potrebbero essere richiesti

per identificare e ridurre il rischio.

Una volta che sia stata identificata la necessità di svolgere un PIA si

esegue la valutazione di come le fasi di un PIA si integrano in quelle del

processo di project management già consolidato all’interno

dell’organizzazione. Questo ha lo scopo di far convergere i rilievi emersi

dal PIA all’interno delle fasi di sviluppo di un progetto in modo che gli

output di ogni fase di progetto ne tengano conto.

Valutazione preliminare di opportunità per un PIA

#READY4EUDATAP

PIA – Fase 2 A

Una valutazione approfondita dei rischi e dei relativi impatti per la privacy è

possibile solo se si evidenziano gli elementi che caratterizzano il trattamento

dei dati. Occorre descrivere:

- quali informazioni sono utilizzate

- come vengono trattate nelle singole fasi

- a cosa servono, ovvero per quale finalità

- da chi sono ottenute, a chi sono comunicate

- chi ne deve avere accesso

Questa fase del processo PIA può essere supportata da fonti informative già

disponibili all'interno dell'organizzazione per descrivere come i dati saranno

utilizzati, ad es.: un diagramma che riporti i flussi informativi tra i vari

soggetti o sistemi, la sequenza prevista delle operazioni di gestione dei dati,

rapporti di audit sull’uso delle informazioni, mappe informative, registri di

asset informativi.

Descrizione dei flussi di informazioni

#READY4EUDATAP

PIA – Fase 2 B

Ogni organizzazione può decidere chi sia in una posizione più opportuna

per coordinare o condurre un PIA.

In ogni caso e’ verosimile che le organizzazioni più complesse si dotino di

un DPO che può giocare un ruolo chiave, con l‘autorità di rivolgersi a chi

è in grado di guidare le fasi del PIA sui processi esistenti. Questa figura

può essere anche in grado di mantenere traccia di tutte i PIA eseguiti e di

seguire le implicazioni derivanti dalla nuove.

Laddove non sia stato ancora identificato un DPO è possibile far

condurre i PIA da non esperti laddove siano state identificate delle figure

di project manager o di risk manager (anche senza conoscenza

specialistica sulla protezione dei dati) purché in grado di applicare un

metodo guida basato su quesiti che li aiutino a focalizzare gli aspetti

rilevanti (vedi Fase 1).

Ruoli e coinvolgimento dei partecipanti

#READY4EUDATAP

PIA – Fase 2 B

Condurre un PIA significa lavorare in team all’interno di una

organizzazione. Un PIA efficace includerà coinvolgimenti e

consultazione di persone provenienti da settori diversi di

un’organizzazione in grado, ciascuno, di individuare differenti

rischi di privacy e soluzioni basate sulla rispettiva area di

interesse o di esperienza (v. allegato).

Laddove opportuno si potrà prevedere l’eventualità di ottenere

contributi anche dalle persone che sono direttamente impattate

dal nuovo servizio allo scopo di raccogliere riscontri da parte di

chi ha una percezione pratica degli effetti.

#READY4EUDATAP

PIA – Fase 3

In questa fase occorre valutare gli aspetti di Privacy che

espongono il progetto in esame a rischi di Privacy.

Un principio chiave è che il processo PIA è insieme una forma di

risk assessment e di risk management per quanto riguarda le

implicazioni specifiche di Privacy. Dunque l'organizzazione deve

considerare come il progetto potrà generare eventuali problemi

alla privacy degli interessati che, a loro volta, si ripercuoteranno

sulla stessa organizzazione se non indirizzati correttamente. Ad

esempio un progetto che è intrusivo sul fronte del pubblico

aumenta anche i rischi di multe, di danni reputazionali, o di

perdite di business se rilasciato con carenze o soluzioni

inappropriate.

Identificazione dei rischi privacy e di quelli correlati

#READY4EUDATAP

PIA – Fase 3

Il problema è come identificare e gestire in modo sistematico

l'insieme dei rischi. E' per questo che nella fase precedente di

descrizione dei flussi informativi si è cercato di immaginare una

sequenza composta da stadi di utilizzo dei dati come una

sequenza logica dei trattamenti, da quando i dati vengono

ricevuti dall'esterno a quando vengono aggregati, elaborati,

storicizzati e poi ulteriormente trasferiti.

A questo punto è importante applicare a questi stadi un set di

quesiti che consenta di far emergere le vulnerabilità e le

minacce e su queste determinare gli effetti su cui quantificare gli

impatti.

#READY4EUDATAP

PIA – Fase 3

Le organizzazioni potrebbero decidere di usare standard di

settore o proprie metodologie di Project Management o di Risk

Management per aiutarsi a categorizzare, identificare e misurare

i rischi.

Si suggerisce di valutare il rischio in termini di coefficienti di

probabilità e di gravità secondo scale numeriche associate a

classi di valori.

Il documento centrale di questa fase è il Privacy Risk Register

dove sono riportate le descrizioni delle valutazioni fatte, al fine di

dettagliare la mappatura dei rischi (integrabile nel Risk Register

di progetto). E' implicito che progetti di minore portata possono

avere un approccio al rischio meno formale che riduce il

dettaglio dell'analisi riportata nel Risk Register.

#READY4EUDATAP

PIA – Fase 3

Item

Privacy

Rischi nei confronti degli

individui

Rischi nei confronti

dell'organizzazioneRischi di conformità

I rischi nei confronti degli

individui possono essere

categorizzati in modo diverso

ma e' importante che siano

considerati:

- i rischi per la sicurezza fisica

- i rischi materiali (ad es. perdite

finanziarie causate da frodi o

dati inesatti o una violazione

della sicurezza)

- i rischi morali (ad es.

preoccupazione per la diffusione

di una notizia riservata o per

un'intrusione non prevista)

I rischi nei confronti

dell'organizzazione,

possono consistere in

danni alla reputazione

con conseguente

perdita di business o in

costi finanziari a seguito

di una violazione dei

dati

I rischi legali di

conformità (ad es. al

GDPR, al PECR, alla Legge

sui Diritti Umani)

possono comportare

penali o multe

Si consideri l'insieme dei

principi applicabili di

default riportati in

allegato che servono a

identificare se i principali

criteri di conformità sono

stati trattati e come

Esempio di Risk Register

#READY4EUDATAP

PIA – Fase 3

Vulnerabilità Minaccia Probab. [P1]

Effetto / Impatto Gravità [G1]

Controlli inadeguati di blocco alla divulgazione dei dati di identità

Possono aumentare la probabilità di diffusione impropria delle informazioni

3 Rischio materiale di perdita dovuta alla sottrazione delle identità

4

Il contesto in cui un'informazione viene usata o resa nota può cambiare nel tempo

Può portare ad un uso per scopi diversi da quelli intesi inizialmente senza che gli interessati lo sappiano

2 Rischio morale di tensione e di fastidio nel vedersi coinvolto in attività non di interesse o non volute

3

Nuovi metodi di sorveglianza

Possono comportare un intrusione ingiustificata

3 Rischio per la sicurezza fisica

4

Una raccolta massiccia di informazioni su individui

Può portare a prendere misure nei loro confronti

4 Rischio morale di subire attività intrusive e di subire ingerenze inattese

4

A titolo di esempio segue una matrice che esamina possibili rischi verso gli individui :

#READY4EUDATAP

PIA – Fase 3

A titolo di esempio segue una matrice che esamina possibili rischi nei confronti

dell'organizzazione (Corporate risk) :

Vulnerabilità Minaccia Probab. [P1]

Effetto / Impatto Gravità [G1]

Una lettura non attenta o una conoscenza non approfondita della norma può comportare

non conformità con GDPR o altri atti legislativi.

2 Può comportare sanzioni, penali o danni reputazionali

4

Una scarso investimento su attività di analisi preliminare può comportare

problemi che vengono identificati solo dopo che il progetto e' stato lanciato

3 possono comportare rimedi o soluzioni più costose

3

L'uso di informazioni biometriche o di tecnologie di tracciamento potenzialmente invasive

può causare maggiore preoccupazione negli interessati e portarli ad evitare interazioni con l'organizzazione

1 causando danno di immagine e minore opportunità di business

4

#READY4EUDATAP

PIA – Fase 4

In questa fase le organizzazioni hanno bisogno di identificare quali soluzioni

possono essere intraprese per i rischi che hanno identificato. Il PIA dovrebbe

offrire una serie di possibili opzioni per indirizzare ciascun rischio anche se

va considerato che lo scopo non è quello di eliminare completamente

l'impatto ma è quello di ridurre l'impatto ad un livello accettabile pur

consentendo di realizzare un'iniziativa. Dunque in questa fase, mentre si

decide sulle possibili soluzioni, è sempre utile soppesare se gli scopi e i

risultati del progetto sono proporzionati con l'impatto previsto sugli

interessati. Pertanto è opportuno tener traccia della misura di riduzione di

rischio che ogni soluzione intende apportare.

Le organizzazioni hanno anche bisogno di valutare i costi e i benefici delle

possibili soluzioni. Alcuni costi sono di natura prettamente finanziari, ad

esempio quando deve essere acquistato un nuovo software per garantire un

maggiore controllo sull'accesso e sulla conservazione. Ma i maggiori costi

devono essere bilanciati rispetto ai benefici attesi, come per esempio una

maggiore garanzia per proteggersi da violazioni dei dati, un minore rischio di

sanzioni o provvedimenti o di essere esposti ad effetti reputazionali.

Individuazione delle soluzioni e delle misure

#READY4EUDATAP

PIA – Fase 4

Rischio

Rif.Soluzione Risultato [P2] [G2] Valutazione

Pseudonimizzazione

Anonimizzazione

Cifratura dei

messaggi o degli

archivi

Controllo periodico

e monitoraggio

Il rischio è

stato

eliminato,

ridotto o

accettato

1

2

3

4

5

1

2

3

4

5

L'impatto finale

dopo la

realizzazione di

ciascuna soluzione

costituisce una

risposta

giustificata,

conforme e

proporzionata agli

scopi del progetto

Il rischio viene ricalcolato in modo che sia evidente il valore finale [2] rispetto a quello

iniziale [1] così da pesare l’efficacia della misura introdotta.

Sulla base degli interventi eseguiti, il Risk Register va tenuto aggiornato per riflettere

come le misure introdotte abbiano cambiato il livello di rischio.

#READY4EUDATAP

PIA – Fase 5

Per le soluzioni che si è deciso di portare avanti è opportuno tener

traccia dei passi seguiti nel processo decisionale, compreso chi li

abbia approvati. Parimenti, se si fosse deciso di accettare un rischio,

dovrebbe essere esplicita l’argomentazione sostenuta e l’assunzione

di responsabilità.

Risk Rif. Soluzione

decisa

Requisito

derogato

Approvato da

Approvazione delle decisioni e registrazione dei risultati

#READY4EUDATAP

PIA – Fase 5

Si ritiene utile giungere alla conclusione delle attività producendo un

report finale, da allegare alla documentazione di progetto, per

riassumere il processo e i passi compiuti per mitigare il rischio

privacy e per consentire di ricostruire a posteriori i motivi delle scelte

fatte sulla base dei rischi individuati.

Si consideri che una registrazione del processo PIA può anche

costituire una forma di comunicazione e di trasparenza verso gli

interessati che ne richiedano la consultazione e diventare così una

strategia di comunicazione.

Si consideri che un report PIA potrebbe non essere il solo

documento prodotto come risultato del processo ma il PIA potrebbe

aver fatto emergere il bisogno di una nuova comunicazione o regola

da trasmettere agli interessati.

#READY4EUDATAP

PIA – Fase 6

I rilievi PIA e le azioni dovrebbero esser integrate con il piano di

progetto complessivo man mano che si sviluppa. Anche se la

maggior parte dell'impegno per il PIA risiede nelle fasi iniziali del

progetto, potrebbe essere necessario ritornare al PIA in vari stadi

dello sviluppo e della realizzazione del progetto per avere conferma

che le soluzioni sono state correttamente realizzate e hanno ottenuto

l'effetto desiderato.

E' probabile che i progetti di grande estensione ottengano benefici

da un processo di revisione più formale. Un PIA potrebbe generare

azioni che continuano dopo che la valutazione è finita per cui è

necessario che queste azioni vengano monitorate.

In questa fase occorre tener traccia di ciò che si può imparare per i

progetti futuri.

Integrazione dei risultati del PIA nel piano di progetto

#READY4EUDATAP

Riferimenti bibliografici

Questions and Answers – Data Protection reform 21 dic 2015http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm

Conducting PIA – Code of Practice – Data Protection Act – ICOhttps://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf

PIA GUIDE - U.S. Securities and Exchange Commissionhttps://www.sec.gov/about/privacy/piaguide.pdf

Guide to conducting PIA - U.S. Department of Justice - 2012http://www.it.ojp.gov/documents/d/Guide%20to%20Conducting%20Privacy%20Impact

%20Assessments_compliant.pdf

G. Pizzetti – Sette anni di protezione dati in Italia 2005 - 12 - Ed.

G. Giappichelli

#READY4EUDATAP

Allegati

- PIA Fase 1 – Domande di screening

- PIA Fase 2B – Ruoli da coinvolgere nelle fasi del PIA

- PIA Fase 3 – Principali misure per ridurre il rischio

- PIA Fase 3 – Aree di attenzione per la sicurezza dei servizi

online

- Principi applicabili di default

- Estratto articoli GDPR

#READY4EUDATAP

PIA – Fase 1

• Il progetto comporta la raccolta di nuove informazioni sugli individui ?

• Il progetto costringerà gli individui a fornire informazioni su se stessi ?

• Informazioni su individui saranno divulgate a organizzazioni o persone

che in precedenza non hanno avuto accesso a tali informazioni ?

• Si sta per utilizzare informazioni su individui per uno scopo attualmente

non previsto o in un modo che non è attualmente utilizzato ?

• Il progetto prevede l’uso di nuove tecnologie che potrebbero essere

percepite come intrusive della privacy ? (ad es. l'uso della biometria e

del riconoscimento facciale)

• Porterà il progetto a prendere decisioni o intraprendere azioni nei

confronti di individui tali da avere un impatto significativo su di loro ?

• Le informazioni sugli individui sono di tipo tale da sollevare

verosimilmente problemi o aspettative di privacy ? (ad es. cartelle

cliniche, casellario giudiziario o altre informazioni particolarmente

private)

• Il progetto richiederà di contattare individui in un modo che essi

potranno trovare invadente ?

Domande di screening

#READY4EUDATAP

PIA – Fase 2B

Ruoli da coinvolgere in fasi predefinite del PIA possono essere:

• Il team di Project Management, per definizione responsabile dell’implementazione di un progetto

• Il DPO, se nominato all’interno dell’organizzazione, comunque di supporto al PM se questi fosse

nominato responsabile dello specifico PIA

• Progettisti e sviluppatori, cioè coloro che concepiscono o sviluppano un prodotto, per comprendere

come approcciare le esigenze di privacy ed essere in grado di proporre soluzioni ai rischi identificati

• Figure dell’IT, per rilevare rischi e proporre eventuali soluzioni relative alla sicurezza, alle architetture

informatiche, alle applicazioni software, quando si possa applicare la cifratura, la anonimizzazione, la

pseudonimizzazione o la cifratura dei dati sui sistemi

• Acquisti, nel caso siano necessari componenti o servizi che devono essere approvvigionati

• Eventuali fornitori esterni o prestatori di servizi (processors), nel caso in cui parte del progetto sia

terziarizzato o si debba valutare se farlo

• Figure che lavorano nel Risk Management, per valutare la correttezza delle valutazioni eseguite

• Figure del Compliance, per garantire la conformità normativa della soluzione

• Figure di Business o comunque ruoli che si interfacciano con i clienti, per pesare gli impatti

(dimensione della gravità) o per individuare figure che eseguano test in ottica cliente e per validare la

robustezza delle soluzioni

• Ricercatori, analisti e statistici, per individuare procedure matematiche e statistiche adeguate a

rilevare correttamente i comportamenti, a rettificare i fattori che comportano inesattezze dei dati e a

minimizzare il rischio di errori

• La Communication, se si pensa di usare il PIA per trasmettere all’esterno un informativa sul progetto

• Il Senior Management, per garantire la solidità delle decisioni e del progetto nel suo complesso

#READY4EUDATAP

PIA – Fase 3

Alcune delle principali misure impiegabili per ridurre il rischio sono :

• decidere di non raccogliere o memorizzare specifici tipi di informazioni

• ideare periodi di conservazione mirati allo stretto tempo necessario e poi prevedere la

distruzione

• adottare specifiche misure tecnologiche di sicurezza

• garantire che il personale sia adeguatamente formato e consapevole dei potenziali rischi

di privacy

• sviluppare modi di pseudonimizzazione dei dati in modo sicuro laddove sia possibile farlo

• emettere guide operative per il personale su come usare i nuovi sistemi e su come

condividere i dati se appropriato

• usare sistemi che consentano agli interessati di accedere facilmente alle proprie

informazioni e alle organizzazioni di rispondere alle richieste di accesso degli interessati

• adottare misure per far sì che gli individui siano consapevoli di come sono trattate le

proprie informazioni e di come contattare l'organizzazione in caso di necessaria

assistenza

• selezionare gli incaricati in base alla loro capacità di garantire un maggior grado di

sicurezza e assicurare che esistano accordi per proteggere le informazioni che sono

elaborate per conto dell'organizzazione

• stringere accordi di condivisione dei dati che rendano evidente quale informazione debba

essere condivisa, come e con chi debba esserlo.

#READY4EUDATAP

PIA – Fase 3

Es. di Aree di attenzione per la sicurezza dei servizi online

• aggiornamenti software

• vulnerabilità a SQL injection

• disattivazione dei servizi non necessari

• decommissioning dei servizi o del software non usato

• memorizzazione delle password

• configurazione dei servizi SSL e TLS

• appropriatezza dei siti in base al trattamento previsto dei dati

• modifica dei settaggi e delle credenziali di default

#READY4EUDATAP

Principi applicabili di default - 1

Principi applicabili (di default) nel trattamento dei dati personali

Il soddisfacimento dei seguenti requisiti può essere considerato una misura necessaria

ma non sufficiente.

1) I dati personali devono essere trattati in modo lecito e legittimo

questo comporta che:

- siano definite le finalità di ciascun trattamento

- sia data trasparenza agli interessati circa i trattamenti applicati ai loro dati

- siano definite le condizioni per gli specifici trattamenti

- siano gestiti i consensi individuali al trattamento

- siano considerati prevalenti gli interessi sociali

2) I dati personali devono essere ottenuti solo per i trattamenti specificati e non

devono essere trattati in modo diverso o incompatibile con lo scopo dichiarato

questo comporta che:

- debba essere verificato se lo scopo di una nuova iniziativa è coperto dai

trattamenti già dichiarati e se eventuali nuovi scopi potenziali sono stati identificati

#READY4EUDATAP

Principi applicabili di default - 2

3) I dati personali devono essere adeguati, pertinenti e non eccessivi rispetto allo

scopo per cui sono trattati (Minimizzazione dei dati soggetti a trattamento)

questo comporta che:

- l'informazione che si sta usando sia di qualità adeguata allo scopo per cui e' usata

- siano definiti quali dati non servono senza compromettere i bisogni del progetto

4) I dati personali devono essere accurati e, quando necessario, tenuti aggiornati

questo comporta che:

- debba esser definito un modo per controllare la correttezza dei dati quando ottenuti

dagli interessati o da altre fonti

- se si sta ottenendo nuovo software sia possibile correggere i dati se necessario

5) I dati personali trattati per qualunque scopo non devono essere conservati per

un periodo maggiore di quanto sia necessario rispetto agli scopi intesi

questo comporta che:

- siano definiti i periodi di conservazione in modo compatibile con le esigenze del

trattamento

- siano definiti i meccanismi, prevalentemente automatici, per cancellare le

informazioni in conformità ai periodi di conservazione previsti

#READY4EUDATAP

Principi applicabili di default - 3

6) I dati personali devono essere trattati in conformità ai diritti degli interessati

questo comporta che:

- I sistemi consentano di rispondere alle richieste di accesso da parte degli

interessati, di limitare o di opporsi al trattamento, di rettificare i propri dati, di

cancellazione (oblio), di portabilità' ad altro operatore

- se un progetto include una finalità di marketing, deve esistere una procedura che

consenta agli interessati di escludere che i propri dati siano usati per quello specifico

scopo

- se un interessato ne chiede la rimozione (oblio) questa deve essere garantita

7) Adeguate misure tecniche e organizzative devono essere adottate per

contrastare l'uso o l'accesso non autorizzato o illecito dei dati personali e per

prevenire la perdita o la distruzione o il danneggiamento degli archivi anche accidentale

questo comporta che:

- vengano applicate tecniche di pseudonomizzazione fin dalle prime fasi di trattam.

- i sistemi siano provvisti di sistemi di protezione per prevenire i rischi di sicurezza

(accessi, alterazioni, perdite non volute)

- siano date istruzioni e fatto addestramento per assicurare che lo staff tecnico

conosca come operare con i sistemi esistenti e quelli nuovi in modo sicuro

- sia consentito al responsabile del trattamento di applicare e migliorare le

caratteristiche di sicurezza

#READY4EUDATAP

Principi applicabili di default - 4

8) I dati personali non devono essere trasferiti in un paese al di fuori dell'EEA a

meno che quel territorio assicuri un adeguato livello di protezione per i diritti e le libertà

degli interessati in relazione ai trattamenti previsti

questo comporta che:

- sia valutata l'esigenza eventuale di trasferire i dati dell'EEA

- nel caso, sia definita la modalità con cui viene assicurata la protezione dei dati

#READY4EUDATAP

Estratto articoli del GDPR - 1

Articolo 4 - Definizioni

3. "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi

automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la

strutturazione, la memorizzazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la

comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il

raffronto o l’interconnessione, (…) la limitazione, la cancellazione o la distruzione;

9. "violazione dei dati personali": violazione di sicurezza che comporta accidentalmente o in modo illecito

la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi,

memorizzati o comunque elaborati;

12bis. "profilazione": qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo

di tali dati per valutare aspetti della personalità dell'interessato, in particolare per analizzare e prevedere

aspetti riguardanti il rendimento professionale, la situazione economica, lo stato di salute, le preferenze

personali o gli interessi, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti;

Articolo 5 - Principi applicabili al trattamento di dati personali

Articolo 6 - Liceità del trattamento

Articolo 23 - Protezione fin dalla progettazione e protezione di default

#READY4EUDATAP

Estratto articoli del GDPR - 2

Articolo 30 - Sicurezza del trattamento

1. Tenuto conto della tecnologia disponibile e dei costi di attuazione, nonché della natura, dell'oggetto, del

contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti

e le libertà delle persone fisiche, il responsabile del trattamento e l'incaricato del trattamento mettono in

atto opportune misure tecniche e organizzative quale (...) la pseudonimizzazione dei dati personali per

garantire un livello di sicurezza adeguato al rischio.

1 bis. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati da

trattamenti di dati (…) derivanti in particolare dalla distruzione, la perdita, la modifica, la rivelazione non

autorizzata o l'accesso, in modo accidentale o illegale, a dati personali trasmessi, memorizzati o

comunque elaborati

Articolo 33 - Valutazione d'impatto sulla protezione dei dati

1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la

natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le

libertà delle persone fisiche, ad esempio discriminazione, furto o usurpazione d'identità, perdite

finanziarie, pregiudizio alla reputazione, decifratura non autorizzata della pseudonimizzazione, perdita di

riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale

importante, il responsabile del trattamento (…) effettua, prima di procedere al trattamento, una

valutazione dell'impatto delle operazioni di trattamento previste sulla protezione dei dati personali. (…).

(…).

#READY4EUDATAP

Estratto articoli del GDPR - 3

2. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei

seguenti casi:

a) una valutazione sistematica e globale (…) di aspetti della personalità (…) degli interessati (…), basata

sulla profilazione e da cui discendono decisioni che hanno effetti giuridici sugli interessati o incidono

gravemente sugli interessati;

b) il trattamento di categorie particolari di dati personali ai sensi dell'articolo 9, paragrafo 1 (…), dati

biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza, qualora i dati siano

trattati per prendere decisioni su larga scala riguardanti persone fisiche;

c) la sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante

dispositivi ottico-elettronici (…);

d) (…);

e) (…).

3. La valutazione contiene almeno una descrizione generale delle operazioni di trattamento previste, una

valutazione del rischio di cui al paragrafo 1, le misure previste per affrontare il rischio, includendo le

garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare

la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e

delle altre persone in questione.

Articolo 34 (…) - Consultazione preventiva

1. (…)

2. Il responsabile del trattamento (…), prima di procedere al trattamento dei dati personali, consulta

l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati di cui all'articolo 33 indichi

che il trattamento presenterebbe un (…) rischio elevato in assenza di misure che il responsabile del

trattamento dovrebbe adottare per attenuare il rischio.

#READY4EUDATAP

Facci una domanda sul Blog

Contattaci su Twitter

Facci una domanda sul Blog