La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie...

25
La Comunicazione N.R.&N. 201 Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications Sommario: L'articolo si propone di illustrare un modello per condurre una “Privacy Impact Assessment (PIA)": valutazione dell'impatto-privacy (parte integrante di un approccio Privacy by Design), che costituisce uno dei requisiti contenuti nel nuovo Regolamento Privacy UE (previso per il 2016) e che sarà applicabile alle diverse modalità di comunicazione elettronica. Abstract: The purpose of this paper is to explain the principles which form the basis for a "Privacy Impact Assessment (PIA)" one of the requirements contained in the new EU Privacy Regulations (final approval expected for 2016) and will be applicable to various forms of electronic communication. and is an integral part of taking a Privacy by Design approach. INQUADRAMENTO NORMATIVO La proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (nuovo Regolamento UE sulla privacy) fra le varie novità introdotte richiede che il DATA CONTROLLER (tale termine nella versione italiana è tradotto come RESPONSABILE, ma in realtà corrisponde all’attuale TITOLARE di trattamento così come definito nel Dlgs 196/03) effettui nei casi di maggior rischio per la protezione dei dati personali una valutazione dell’impatto sulla protezione dei dati stessi (Data Protection impact Assessment). Articolo 33 - Valutazione d'impatto sulla protezione dei dati 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ad esempio discriminazione, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, decifratura non autorizzata della pseudonimizzazione, perdita di Giancarlo Butti Banco Popolare - Audit Conformità e presidi 231/2001 Alberto Piamonte ISACA

Transcript of La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie...

Page 1: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

La Comunicazione N.R.&N.

201

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

Sommario: L'articolo si propone di illustrare un modello per condurre una “Privacy Impact Assessment (PIA)": valutazione dell'impatto-privacy (parte integrante di un approccio Privacy by Design), che costituisce uno dei requisiti contenuti nel nuovo Regolamento Privacy UE (previso per il 2016) e che sarà applicabile alle diverse modalità di comunicazione elettronica.

Abstract: The purpose of this paper is to explain the principles which form the basis for a "Privacy Impact Assessment (PIA)" one of the requirements contained in the new EU Privacy Regulations (final approval expected for 2016) and will be applicable to various forms of electronic communication. and is an integral part of taking a Privacy by Design approach.

INQUADRAMENTO NORMATIVO

La proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (nuovo Regolamento UE sulla privacy) fra le varie novità introdotte richiede che il DATA CONTROLLER (tale termine nella versione italiana è tradotto come RESPONSABILE, ma in realtà corrisponde all’attuale TITOLARE di trattamento così come definito nel Dlgs 196/03) effettui nei casi di maggior rischio per la protezione dei dati personali una valutazione dell’impatto sulla protezione dei dati stessi (Data Protection impact Assessment).

Articolo 33 - Valutazione d'impatto sulla protezione dei dati 1. Quando un tipo di trattamento, allorché prevede in particolare

l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ad esempio discriminazione, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, decifratura non autorizzata della pseudonimizzazione, perdita di

Giancarlo Butti Banco Popolare - Audit Conformità e presidi 231/2001 Alberto Piamonte ISACA

Page 2: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

202 La Comunicazione N.R.& N.

riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale importante, il responsabile del trattamento (…) effettua, prima di procedere al trattamento, una valutazione dell'impatto delle operazioni di trattamento previste sulla protezione dei dati personali. (…).

L’articolo 33 del Regolamento UE, oltre a declinare le modalità con cui effettuare la valutazione d’impatto:

… 3. La valutazione contiene almeno una descrizione generale delle

operazioni di trattamento previste, una valutazione del rischio di cui al paragrafo 1, le misure previste per affrontare il rischio, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questione.

3 bis. Nella valutazione della liceità e dell'impatto del trattamento compiuto dai relativi responsabili o incaricati si tiene debito conto del rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 38, in particolare ai fini di una valutazione d'impatto sulla protezione dei dati.

individua anche quelli che sono i casi (definito dall’autorità di controllo) nei quali tale valutazione è indispensabile.

Indipendentemente dalla finalità del trattamento che si sta analizzando, appare evidente che le comunicazioni elettroniche, così come definite dal Dlgs 196/03:

Art. 4. Definizioni 2. Ai fini del presente codice si intende, inoltre, per: a) "comunicazione elettronica", ogni informazione scambiata o

trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un contraente o utente ricevente, identificato o identificabile;

e) "servizio di comunicazione elettronica", i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002;

sono trasversali a tutti gli scenari presenti e futuri individuati dalla normativa e che pertanto è necessario considerarli sempre nella valutazione dei rischi richiesta. Del resto l’importanza assunta dalle comunicazioni elettroniche ed il loro alto profilo di rischio è già evidente nell’attuale versione del Dlgs 196/03,

Page 3: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

203

che con decreto legislativo 28 maggio 2012, n. 69 ha introdotto nel Codice per la protezione dei dati personali l’articolo 32-bis. Tale articolo, obbliga i titolari di trattamento, fornitori di servizi di comunicazione elettronica accessibili al pubblico, alla notifica di una violazione di dati personali, così come definita nell’Art. 4 dello stesso Codice.

Art. 4. Definizioni 3. Ai fini del presente codice si intende, altresì, per: … g-bis) "violazione di dati personali": violazione della sicurezza che

comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.

Gli adempimenti richiesti al Titolare da parte di questo articolo sono molto onerosi e prevedono una comunicazione della violazione sia al Garante

Art. 32-bis Adempimenti conseguenti ad una violazione di dati personali 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.

sia ai singoli contraenti (termine più esteso dei semplici interessati in quanto comprende anche le persone giuridiche): In particolare quest’ultimo adempimento può essere estremamente costoso in termini di risorse tecniche ed economiche, considerando la potenziale numerosità di tali soggetti. In caso di mancata spontanea comunicazione ai contraenti da parte del Titolare è lo stesso Garante che può imporla. Un fattore esimente a tale comunicazione è descritto al comma 3 dello stesso articolo 32-bis.

3. La comunicazione di cui al comma 2 non è dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione

L’obbligo di segnalazione di una violazione, pur essendo estremamente impegnativo, viene ripreso dallo stesso Garante per la protezione dei dati personali, ad esempio nel Provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014

…prescrive, ai sensi dell'Art. 154, comma 1, lettera c) del Codice, che i titolari di trattamenti biometrici comunichino al Garante, entro

Page 4: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

204 La Comunicazione N.R.& N.

ventiquattro ore dalla conoscenza del fatto, le violazioni dei dati biometrici secondo le modalità di cui al paragrafo 3;

o, seppure in forma diversa, da altri enti quali Banca d’Italia nelle sue Nuove disposizioni di vigilanza prudenziale per le banche - Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013 …I gravi incidenti di sicurezza informatica sono comunicati tempestivamente alla Banca d’Italia, con l’invio di un rapporto sintetico recante una descrizione dell’incidente e dei disservizi provocati agli utenti interni e alla clientela nonché i seguenti dati, accertati o presunti: i) data e ora dell’accadimento o della manifestazione dell’incidente; ii) risorse e servizi coinvolti; iii) cause, tempi e modalità previsti per il pieno ripristino dei livelli di disponibilità e sicurezza definiti e per il completo accertamento dei fatti connessi; iv) descrizione delle azioni intraprese e dei risultati ottenuti; v) una valutazione dei danni delle perdite economiche o danni d’immagine. Tale obbligo inoltre viene esteso a tutti i data controller, indipendentemente dal tipo di trattamento effettuato, nella Proposta del nuovo Regolamento UE sulla privacy, che all’ Articolo 31 Notifica di una violazione dei dati personali all'autorità di controllo, così recita: 1. In caso di violazione dei dati personali suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ad esempio discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale importante, il responsabile del trattamento notifica la violazione all'autorità di controllo competente ai sensi dell'articolo 51 senza ritardo ingiustificato, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora non sia effettuata entro 72 ore, la notifica all'autorità di controllo è corredata di una giustificazione motivata.

Anche in questo caso la comunicazione deve avvenire anche ni confronti dell’interessato: Articolo 32 Comunicazione di una violazione dei dati personali all'interessato.

Per tornare alla valutazione di impatto, richiesta dal nuovo Regolamento UE, questa non appare in realtà del tutto nuova, essendo in parte paragonabile a quanto prescritto dall’Art. 31. Obblighi di sicurezza del Dlgs 196/03:

1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei

Page 5: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

205

dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Anche in questo caso, il legislatore ha ritenuto che le comunicazioni elettroniche presenti dei profili di rischio più alti rispetto agli altri trattamenti, ed ha prescritto al riguardo uno specifico articolo Art. 32. Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico.

La differenza più evidente fra il nuovo Regolamento UE e l’attuale Dlgs 196/03, riguarda la presenza in quest’ultimo, non solo di una generica autovalutazione da parte del DATA CONTROLLER del proprio livello di rischio rispetto ad uno o più trattamenti, ma anche la presenza, all’Art. 33 del Codice, di una serie di misure minime:

1 Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali. che costituiscono una sorta di check list alla quale i DATA CONTROLLER devono attenersi per essere quantomeno conformi con la normativa (l’omessa adozione delle misure minime è presidiata penalmente). La conseguenza negativa di questo tipo di approccio normativo, è stata la conseguente interpretazione dei DATA CONTROLLER, che hanno da sempre privilegiato la semplice conformità alla reale sicurezza (si è sicuri se si è conformi) così come richiesta dal già citato articolo 31 del Codice (e dall’articolo 32 per i fornitori di servizi di comunicazione elettronica accessibili al pubblico). I tentativi di semplificazioni successivamente introdotti dal legislatore non hanno fatto altro che rafforzare tale visione. Le misure minime (che nell’intenzione originale del legislatore avrebbero dovuto essere riviste periodicamente) hanno mostrato tutti i loro limiti, essendo applicate in forma indifferenziata sia per la micro azienda e libero professionista, sia per la grande banca o pubblica amministrazione. Di contro a tale approccio, il nuovo Regolamento UE ribalta il punto di vista: si è conformi se si è sicuri, ed è compito del DATA CONTROLER dimostrare di esserlo. Anche in questo caso non si tratta di una novità assoluta, considerando che il Dlgs 196/03 con l’ Art. 15. Danni cagionati per effetto del trattamento, equiparando il trattamento dei dati personali allo svolgimento di un’attività pericolosa prescrive proprio al DATA CONTROLLER l’onere di dimostrare il proprio livello di sicurezza.

Page 6: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

206 La Comunicazione N.R.& N.

Art. 15. Danni cagionati per effetto del trattamento 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.

CODICE CIVILE Art. 2050 (Responsabilità per l'esercizio di attività pericolose)

Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.

La capacità di effettuare una adeguata analisi preliminare, o di dimostrare a posteriori il proprio livello di sicurezza (e quindi di conformità) è quindi una necessità che richiede l’uso di adeguati modelli di analisi e di gestione. Si passa quindi da una visione di “regole da rispettare” a quella di “quali obiettivi raggiungere”. Sempre più di frequente ci si rende conto che l’adozione “passiva” di soluzioni preconfezionate (one-size-fits-all) con l’obiettivo primario di ottenere un attestato di conformità, non fornisce sufficienti garanzie di efficacia: effettiva sicurezza IT , e di efficienza: costi spesso eccessivi e non proporzionati ai risultati raggiunti in termini di sicurezza La risposta è l’adozione di metodi basati sulla gestione proattiva del Rischio IT: si definisce in modo chiaro e trasparente il risultato che si vuole ottenere (rischio accettabile) e si pianifica di conseguenza una serie di azioni. Nella pratica si è rilevato che passare da un approccio “passivo” ad uno “proattivo” oltre che assegnare con maggiore chiarezza le responsabilità (accountability), porta ad un contenimento dei costi, a vantaggi competitivi ed, in generale, ad una maggior tempestività nella gestione delle nuove emergenti minacce. La domanda è quindi: “Come impostare / definire “ gli obiettivi da raggiungere ed, in base a questi, definire un piano di azione ? Esistono dei riferimenti autorevoli cui appoggiarsi ? FRAMEWORK DI SICUREZZA INFORMATICA: COME USARLI Sono stati sviluppati e oggi sono disponibili Frameworks che possono costituire la base per il processo sistematico di identificazione, valutazione e gestione dei rischi legati alla sicurezza informatica. Non si tratta quindi, in generale, di sostituire quanto già esiste, quanto piuttosto di disporre di una nuova chiave di lettura utilizzabile per determinare carenze e per sviluppare piani di miglioramento. L’utilizzo di Framework consente inoltre di individuare le attività più importanti per raggiungere specifici obiettivi ed assegnare le priorità in modo da garantire il massimo ritorno sugli investimenti. Definire chiaramente gli obiettivi consente anche di comunicarli con altrettanta chiarezza all’interno ed all’esterno dell’organizzazione,

Page 7: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

207

assegnando responsabilità definite in termini del loro raggiungimento e non di “cosa è stato fatto“ (accountability) e di documentare programmi ed iniziative. Vediamo cosa suggeriscono i moderni Frameworks di Cybersecurity che affrontano “sistematicamente il problema” ( 1

Funzione Descrizione Attività per raggiungere l’obiettivo ( da COBIT5, ISO 27001, ecc.)

Individuare Individuare le possibili situazioni di rischio in termini di:

• tipo di violazione • strutture organizzative e risorse coinvolte • probabilità dell’evento e gravità delle

conseguenze

Proteggere Adottare preventivamente le misure rivolte a:

• evitare trattamenti non necessari

• ridurre la probabilità di accadimento

• ridurre le possibili conseguenze negative

Rilevare Istituire un sistema di monitoraggio continuo in grado di segnalare tempestivamente eventi legati alla sicurezza informatica.

Rispondere Predisporre, in caso di incidente, le azioni rivolte al contenimento delle conseguenze e ad evitare il ripetersi di problemi simili:

• informare gli interessati o l’autorità competente

• registrare ed analizzare l’incidente adottando le misure correttive ne evitino la ripetizione

(2

Ripristinare Predisporre I piani di ripristino della normale continuità operativa

1 La “nuova” protezione dei Dati Personali richiesta dal Nuovo Regolamento Europeo non è attività a se stante ma va inserita in un più ampio contesto della Cybersecurity aziendale. Il Framework ci aiuta in questo fornendoci una chiave di analisi ed implementazione univoca e condivisibile. 2 ENISA gave a presentation on cyber security incident reporting and security measures in the EU. Focus was on Art. 13a in the electronic communications framework directive which has logics in common with Art. 4 in the ePrivacy Directive, Art. 30-32 in the proposed Data Protection Reform, Art. 15 in the proposed regulation on eID and trust services and Art. 14 in the proposed Network and Information Security Directive. Article 13a talks about risk assessments, security measures and incident reporting. The provider providing public communications networks or publicly available electronic communications services shall take appropriate security measures to minimize impact of security incidents on users and interconnected networks and to guarantee network integrity, thus ensuring continuous supply of services over the networks. Providers shall report significant incidents with impact on operation of services to their Regulator (NRA).

Page 8: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

208 La Comunicazione N.R.& N.

Partire quindi dagli standard, le linee guida e le pratiche suggerite dal Framework mette a disposizione delle organizzazioni tassonomia e meccanismi condivisi per:

1 Descrivere (e documentare) lo stato attuale; 2 Descrivere (e documentare) lo stato di destinazione al quali si

vuole arrivare; 3 Identificare e concentrarsi sulle opportunità di miglioramento con

processi continui e ripetibili; 4 Misurare i progressi verso lo stato desiderato; 5 Comunicare con gli stakeholder interni ed esterni.

6. STRUTTURA GENERALIZZATA DI UN FRAMEWORK DI GOVERNO

Figura 1

Con riferimento allo schema rappresentato nella Figura 1, le componenti che costituiscono un Framework sono:

• Definizione degli Obiettivi • Individuazione degli interventi rivolti al loro ottenimento • Tempificazione degli interventi (Ciclo di vita) • Individuazione ed assegnazione di ruoli e responsabilità

Page 9: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

209

che sono brevemente descritte nei paragrafi successivi.

Definizione degli Obiettivi Si parte definendo (comunicando e condividendo) gli obiettivi da ottenere che, in generale, individuano:

• Benefici da ottenere • Rischi da evitare • Risorse da gestire in modo ottimale.

Questo è anche il momento della comunicazione e del coinvolgimento: la condivisione di un obiettivo è uno degli elementi chiave del successo, ma spesso, lo si dimentica!

Vanno coinvolti tutti coloro che in modo diretto od indiretto sono coinvolti nell’iniziativa o, semplicemente, ne verranno impattati dal risultato finale: successo o insuccesso che sia. È in genere utilizzato il termine inglese Stakeholder (Portatori di interessi) da non confondere con Shareholder che è tutt’altra cosa.

Un altro concetto molto importante nella definizione degli obiettivi è quello del “bilanciamento”: non esiste la soluzione perfetta, ma piuttosto quella “bilanciata “ in modo ottimale tra esigenze tra loro discordanti. È molto diffuso l’utilizzo delle Balanced Scorecards (Nolan e Kaplan 1996) che aiutano a mediare tra esigenze strategiche o di mercato, attenzione alla clientela, ottimizzazione dei processi aziendali interni ed innovazione e competitività. Esse sono disponibili sia per organizzazioni private che per strutture pubbliche ( sanità, ecc.).

Individuazione degli interventi Dove intervenire Per ottenere i risultati desiderati bisogna pianificare correttamente una serie di interventi. È necessario decidere innanzitutto dove intervenire; al riguardo risulta comodo utilizzare un elenco delle possibili aree intervento. Esse secondo l’attuale (2015) letteratura sono:

• Processi / Pratiche /Attività da implementare o migliorare • Principi o Policies da definire e comunicare • Persone con le loro capacità ed esperienza • Organizzazioni con specifici ruoli e responsabilità • Cultura ed etica • Informazioni di cui si necessita per operare correttamente ed

efficacemente • Strumenti e sistemi tecnologici (spesso ci si limita a questi con le

prevedibili conseguenze!)

Page 10: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

210 La Comunicazione N.R.& N.

Il termine divenuto di moda: olistico, indica appunto la necessità di prendere in considerazione tutte e sette le possibili aree di intervento.

Come intervenire Qui, se possibile, è meglio evitare i fai da te: si corrono solo rischi inutili. Per ogni cosa da fare esistono ormai Buone pratiche, Standards e linee guida che raccolgono in modo sistematico il meglio delle varie tematiche, dalla gestione della sicurezza a quella delle risorse umane, dalla continuità di servizio alla scelta dei fornitori… Sono in genere dettagliate, aggiornate ed autorevoli e . . . . stuoli di consulenti in grado di assistervi nella loro scelta ed utilizzo.

Un caveat: l’adozione di uno standard deve rimanere un “mezzo” per raggiungere gli obiettivi di cui al punto precedente, spesso ci si concentra invece eccessivamente sullo standard in quanto tale e la certificazione, il bollino blu diventano il fine.

Il ciclo di vita Dopo aver definito cosa si desidera e cosa si deve fare (o non fare) per ottenerlo, si pone il quesito se fare tutto e subito oppure se esiste un ordine logico ottimale.

Il Framework ci aiuta anche in questo identificando i vari momenti nel ciclo di vita di un’iniziativa:

1. Valutare, indirizzare e controllare (Governance!) 2. Interpretare gli indirizzi, Pianificare e organizzare 3. Analizzare e costruire le soluzioni 4. Erogare servizio o supporto 5. Monitorare e misurare

Sembra ovvio ma quanto volte si erogano servizi senza prima averli pianificati con i diretti interessati ?!

Attori Al termine del processo, ma fondamentale per il successo finale, è la fase di assegnazione dei ruoli e delle responsabilità. Anche qui il Framework aiuta con un elenco di possibili ruoli. Accountable (non esiste una traduzione, ma si tratta di chi ha la responsabilità del risultato finale (Obiettivi al punto 1 !) Responsible: colui (o colei) che guida gli interventi e ne è responsabile Consultend: che va sentito prima di operare Informed: cui va comunicato la disponibilità di nuovi servizi, ecc. Questo completa la nostra struttura che ora è possibile utilizzare leggendola “verticalmente” per analizzare il nostro problema con

Page 11: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

211

crescente livello di dettaglio, oppure “orizzontalmente” (come indicato in figura con i collegamenti in colore verde) per scoprire le relazioni causa-effetto.

Conclusione Per concludere si ricorda che uno schema così strutturato ed articolato può:

1. Essere specializzato per uno specifico problema • Sicurezza informatica • Conformità ad una specifica legge o regolamento • Soluzione di casi specifici quali: • Gestione dei Fornitori • Gestione delle problematiche BYOD, Cluod, ecc.

2. Essere utilizzato per stendere guide all’implementazione 3. Ospitare strumenti di valutazione della Capability di Processo

• Che forniscono la possibilità di valutare a priori la probabilità che il Processo fornisca i risultati attesi (Data Protection by Design !!!) controllando e dimostrando sistematicamente quanto è stato fatto.

Page 12: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

212 La Comunicazione N.R.& N.

APPENDICE 1 - PRIVACY FRAMEWORK

Perché

intervenire Governo Gestione

Proposta Regolamento EU Protezione Dati Personali

Interpretare, indirizzare e monitorare Interventi

Art. 5, Art. 22, Art. 25, Art. 35, Art. 36, Art. 37

1. Definire e Mantenere una Struttura di Governo della Data Protection

• Principi • Organizzazione

• Attività • Sequenze • Ruoli

Art. 5, Art. 9, Art. 28, Art. 34, Art. 42, Art. 44, Art. 81, Art. 83

2. Mantenere un Inventario dei Dati Personali e dei flussi che li interessano

• Informazioni

Art. 7, Art. 8, Art. 20, Art. 83

3. Policy di Personal Data Protection • Policy

Art. 22 4. Includere (embed) la Data Privacy nei trattamenti

• Processi

5. Programmi di formazione e sensibilizzazione

• Processi • Persone • Cultura

Art. 30 6. Gestire il Rischi di Sicurezza informatica

• Processi • Sistemi

Art. 24, Art. 26 Art. 27, Art. 43

7. Gestire i rischi derivanti da terze parti • Processi

Art. 11, Art. 14, Art. 36

8. Dare “visibilità” agli obiettivi ed alle iniziative di Data Protection

• Processi • Persone • Cultura

Art. 12, Art. 13, Art. 15, Art. 16, Art. 17, Art. 18, Art. 19

9. Attivare procedure per rispondere a richieste e lamentele

• Processi

Art. 22, Art. 23, Art. 33

10. Monitorare novità o modifiche nei Processi e nelle Procedure

• Processi

Art. 31, Art. 32 11. Definire un programma di gestione dei Data Privacy Breach

• Processi • Policy

Art. 22 12. Monitorare le modalità (pratiche) di trattamento dei Dati Personali

• Processi

Page 13: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

213

La tabella della pagina precedente esemplifica i passi preliminari all’utilizzo di un Framework di Governo IT per il “governo” e la “gestione” del Nuovo Regolamento Europeo sulla protezione dei Dati Personali.

Si parte dalla decisione di “adottare” il nuovo Regolamento per ottenere i benefici (immagine aziendale) e per evitare i possibili rischi legati ad eventuali non conformità (contenzioso, penali, ecc.).

Il Nuovo Regolamento va quindi interpretato, calandolo nella propria realtà aziendale, e dall’analisi devono scaturire indirizzi – linee guida di alto livello. È questo, a nostro avviso, un passaggio fondamentale “non delegabile”. Una delega a questo livello porterebbe infatti ad approcci “generalizzati” inefficaci e costosi. Data Protection by design parte infatti da una chiara e maturata volontà aziendale di proteggere i Dati Personali custoditi ed utilizzati e di cui è responsabile. La conformità deve essere una, e non la sola, conseguenza e non può certo costituire l’unico punto di partenza !

Questo vale in generale, ed in particolare per le attività legate alla valutazione della PIA (Valutazione Impatto Privacy) il cui obiettivo deve andare ben oltre l’ottenimento di una semplice conformità soltanto “formale”..

Le linee guida, che esprimono gli indirizzi e gli obiettivi di governo, andranno messi in pratica con una serie di interventi, i cui risultati potranno venire nel tempo misurati a fronte degli obiettivi.

Il Framework, nella sua parte rivolta a management e alla gestione, ci consentirà di collocare i vari interventi nei tempi e con le sequenze opportune fornendo, agli attori coinvolti, una visione completa e condivisa delle proprie ed altrui responsabilità.

APPENDICE 2 – RIFERIMENTI NORMATIVI

Proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) Articolo 31 Notifica di una violazione dei dati personali all'autorità di controllo 1. In caso di violazione dei dati personali suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ad esempio discriminazione, furto o usurpazione d'identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla

Page 14: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

214 La Comunicazione N.R.& N.

reputazione, perdita di riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale importante, il responsabile del trattamento notifica la violazione all'autorità di controllo competente ai sensi dell'articolo 51 senza ritardo ingiustificato, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora non sia effettuata entro 72 ore, la notifica all'autorità di controllo è corredata di una giustificazione motivata. 1 bis. La notifica prevista al paragrafo 1 non è richiesta se, ai sensi dell'articolo 32, paragrafo 3, lettere a) e b), non è richiesta una comunicazione all'interessato. 2. (…) L'incaricato del trattamento informa il responsabile del trattamento senza ingiustificato ritardo dopo aver accertato la violazione dei dati personali. 3. La notifica di cui al paragrafo 1 deve come minimo: a) descrivere la natura della violazione dei dati personali compresi, ove possibile e appropriato, le categorie e il numero di interessati approssimativi in questione nonché le categorie e il numero approssimativo di registrazioni dei dati in questione; b) indicare l’identità e le coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) (…) d) descrivere le possibili conseguenze della violazione dei dati personali individuate dal responsabile del trattamento; e) descrivere le misure adottate o di cui si propone l'adozione da parte del responsabile del trattamento per porre rimedio alla violazione dei dati personali; e f) ove opportuno, indicare le misure intese ad attenuare i possibili effetti pregiudizievoli della violazione dei dati personali. 3 bis. Qualora e nella misura in cui non sia possibile fornire le informazioni di cui al paragrafo 3, lettere d), e) ed f), contestualmente alle informazioni di cui ai punti a) e b), il responsabile del trattamento trasmette dette informazioni senza ulteriore ingiustificato ritardo. 4. Il responsabile del trattamento documenta la violazione dei dati personali di cui ai paragrafi 1 e 2, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La documentazione deve consentire all’autorità di controllo di verificare il rispetto del presente articolo. (…). 5. (…) 6. (…) Articolo 32 Comunicazione di una violazione dei dati personali all'interessato 1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ad esempio discriminazione, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, decifratura non autorizzata della pseudonimizzazione, perdita di riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale importante, il

Page 15: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

215

responsabile del trattamento (…) comunica la violazione all'interessato senza ingiustificato ritardo. 2. La comunicazione all'interessato di cui al paragrafo 1 descrive la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui all'articolo 31, paragrafo 3, lettere b), e) ed f). 3. Non è richiesta la comunicazione (…) all'interessato ai sensi del paragrafo 1 se: a. il responsabile del trattamento (…) ha utilizzato le opportune misure tecnologiche ed organizzative di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; oppure b. il responsabile del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c. detta comunicazione richiederebbe sforzi sproporzionati, in particolare a motivo del numero di casi in questione. In una simile circostanza, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia; d. avrebbe ripercussioni negative su un interesse pubblico rilevante. 4. (…) 5. (…) 6. (…) Articolo 33 Valutazione d'impatto sulla protezione dei dati 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, ad esempio discriminazione, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, decifratura non autorizzata della pseudonimizzazione, perdita di riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale importante, il responsabile del trattamento (…) effettua, prima di procedere al trattamento, una valutazione dell'impatto delle operazioni di trattamento previste sulla protezione dei dati personali. (…). (…). 1 bis. Il responsabile del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, chiede un parere al responsabile della protezione dei dati, qualora ne sia designato uno. 2. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei seguenti casi: a) una valutazione sistematica e globale (…) di aspetti della personalità (…) degli interessati (…), basata sulla profilazione e da cui discendono decisioni che hanno effetti giuridici sugli interessati o incidono gravemente sugli interessati; b) il trattamento di categorie particolari di dati personali ai sensi dell'articolo 9, paragrafo 1 (…), dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza, qualora i dati siano trattati per prendere decisioni su larga scala riguardanti persone fisiche; c) la sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante dispositivi ottico-elettronici (…); d) (…);

Page 16: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

216 La Comunicazione N.R.& N.

e) (…). 2 bis. L'autorità di controllo redige e rende pubblico un elenco delle tipologie di operazioni di trattamento soggette al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato europeo per la protezione dei dati. 2 ter. L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di operazioni di trattamento per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati. L'autorità di controllo comunica tali elenchi al comitato europeo per la protezione dei dati. 2 quater. Prima di adottare gli elenchi di cui ai paragrafi 2 bis e 2 ter, l'autorità di controllo competente applica il meccanismo di coerenza di cui all'articolo 57 se tali elenchi comprendono attività di trattamento finalizzate all'offerta di beni o servizi a interessati o al controllo del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione. 3. La valutazione contiene almeno una descrizione generale delle operazioni di trattamento previste, una valutazione del rischio di cui al paragrafo 1, le misure previste per affrontare il rischio, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e delle altre persone in questione. 3 bis. Nella valutazione della liceità e dell'impatto del trattamento compiuto dai relativi responsabili o incaricati si tiene debito conto del rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 38, in particolare ai fini di una valutazione d'impatto sulla protezione dei dati. 4. Il responsabile del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza delle operazioni di trattamento (…). 5. (...) Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o nel diritto dello Stato membro cui il responsabile del trattamento è soggetto un fondamento giuridico attraverso un atto legislativo che disciplina l'operazione di trattamento specifica o l'insieme di operazioni in questione, i paragrafi 1, 2 e 3 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento. 6. (…) 7. (…)

Page 17: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

217

Decreto legislativo 30 giugno 2003, n. 196 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Art. 31. Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Art. 32. Obblighi relativi ai fornitori di servizi di comunicazione elettronica accessibili al pubblico* (1) 1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta, ai sensi dell'articolo 31, anche attraverso altri soggetti a cui sia affidata l'erogazione del predetto servizio, misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi e per gli adempimenti di cui all'articolo 32-bis. (2) 1-bis. Ferma restando l'osservanza degli obblighi di cui agli articoli 30 e 31, i soggetti che operano sulle reti di comunicazione elettronica garantiscono che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati. (3) 1-ter. Le misure di cui ai commi 1 e 1-bis garantiscono la protezione dei dati relativi al traffico ed all'ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti, nonché assicurano l'attuazione di una politica di sicurezza. (3) 2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa vigente. 3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa i contraenti e, ove possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei commi 1, 1-bis e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa al Garante e all'Autorità per le garanzie nelle comunicazioni. (4) Art. 32-bis Adempimenti conseguenti ad una violazione di dati personali (1) 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.

Page 18: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

218 La Comunicazione N.R.& N.

2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione. 3. La comunicazione di cui al comma 2 non è dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad accedervi e che tali misure erano state applicate ai dati oggetto della violazione. 4. Ove il fornitore non vi abbia già provveduto, il Garante può, considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione. 5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio. 6. Il Garante può emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE. 7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine. 8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo. Art. 32-bis Adempimenti conseguenti ad una violazione di dati personali (1) 1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante. 2. Quando la violazione di dati personali rischia di arrecare pregiudizio ai dati personali o alla riservatezza del contraente o di altra persona, il fornitore comunica anche agli stessi senza ritardo l'avvenuta violazione. 3. La comunicazione di cui al comma 2 non è dovuta se il fornitore ha dimostrato al Garante di aver utilizzato misure tecnologiche di protezione che rendono i dati inintelligibili a chiunque non sia autorizzato ad

Page 19: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

219

accedervi e che tali misure erano state applicate ai dati oggetto della violazione. 4. Ove il fornitore non vi abbia già provveduto, il Garante può, considerate le presumibili ripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o ad altra persona l'avvenuta violazione. 5. La comunicazione al contraente o ad altra persona contiene almeno una descrizione della natura della violazione di dati personali e i punti di contatto presso cui si possono ottenere maggiori informazioni ed elenca le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di dati personali. La comunicazione al Garante descrive, inoltre, le conseguenze della violazione di dati personali e le misure proposte o adottate dal fornitore per porvi rimedio. 6. Il Garante può emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'articolo 4, paragrafo 5, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE. 7. I fornitori tengono un aggiornato inventario delle violazioni di dati personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Garante di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario figurano unicamente le informazioni necessarie a tal fine. 8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l'erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest'ultimo di effettuare gli adempimenti di cui al presente articolo. APPENDICE 3 - ESEMPIO DI APPROCCIO STRUTTURATO

Il recente Cybersecurity Framework USA elaborato da NIST (2 / 2014) fornisce linee guida dettagliate per l’implementazione delle 5 funzionalità che quindi, anche tenendo conto della criticità del contesto, possono essere implementate con livelli differenti di “capacità ed efficacia”

Page 20: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

220 La Comunicazione N.R.& N.

Capacità, efficacia documentabilità crescenti

Livello 1 Livello 2 Livello 3

Function Category Subcategory

Riferimento a Frameworks /

Standards implementativi (COBIT5 / ISO 27001-2013)

IDENTIFY (ID)

Asset Management (ID.AM): The data, personnel, devices, systems, and facilities that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to business objectives and the organization’s risk strategy.

ID.AM-1: Physical devices and systems within the organization are inventoried

ID.AM-2: Software platforms and applications within the organization are inventoried

ID.AM-3: Organizational communication and data flows are mapped

ID.AM-4: External information systems are catalogued

ID.AM-5: Resources (e.g., hardware, devices, data, and software) are prioritized based on their classification, criticality, and business value

ID.AM-6: Cybersecurity roles and responsibilities for the entire workforce and third-party stakeholders (e.g., suppliers, customers, partners) are established

Business Environment (ID.BE): The organization’s mission, objectives, stakeholders, and activities are understood and prioritized; this information is used to inform cybersecurity roles, responsibilities, and risk management decisions.

ID.BE-1: The organization’s role in the supply chain is identified and communicated

ID.BE-2: The organization’s place in critical infrastructure and its industry sector is identified and communicated

ID.BE-3: Priorities for organizational mission, objectives, and activities are established and communicated

ID.BE-4: Dependencies and critical functions for delivery of critical services are established

ID.BE-5: Resilience requirements to support delivery of critical services are established

Governance (ID.GV): The policies, procedures, and

ID.GV-1: Organizational information security policy is established

Page 21: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

221

Livello 1 Livello 2 Livello 3 processes to manage and monitor the organization’s regulatory, legal, risk, environmental, and operational requirements are understood and inform the management of cybersecurity risk.

ID.GV-2: Information security roles & responsibilities are coordinated and aligned with internal roles and external partners

ID.GV-3: Legal and regulatory requirements regarding cybersecurity, including privacy and civil liberties obligations, are understood and managed

ID.GV-4: Governance and risk management processes address cybersecurity risks

Risk Assessment (ID.RA): The organization understands the cybersecurity risk to organizational operations (including mission, functions, image, or reputation), organizational assets, and individuals.

ID.RA-1: Asset vulnerabilities are identified and documented

ID.RA-2: Threat and vulnerability information is received from information sharing forums and sources

ID.RA-3: Threats, both internal and external, are identified and documented

ID.RA-4: Potential business impacts and likelihoods are identified

ID.RA-5: Threats, vulnerabilities, likelihoods, and impacts are used to determine risk

ID.RA-6: Risk responses are identified and prioritized

Risk Management Strategy (ID.RM): The organization’s priorities, constraints, risk tolerances, and assumptions are established and used to support operational risk decisions.

ID.RM-1: Risk management processes are established, managed, and agreed to by organizational stakeholders

ID.RM-2: Organizational risk tolerance is determined and clearly expressed

ID.RM-3: The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis

PROTECT (PR)

Access Control (PR.AC): Access to assets and associated facilities is limited to authorized users, processes, or devices, and to authorized activities and transactions.

PR.AC-1: Identities and credentials are managed for authorized devices and users

PR.AC-2: Physical access to assets is managed and protected

PR.AC-3: Remote access is managed PR.AC-4: Access permissions are managed, incorporating the principles of least privilege and separation of duties

PR.AC-5: Network integrity is protected, incorporating network segregation where appropriate

Page 22: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

222 La Comunicazione N.R.& N.

Livello 1 Livello 2 Livello 3 Awareness and Training (PR.AT): The organization’s personnel and partners are provided cybersecurity awareness education and are adequately trained to perform their information security-related duties and responsibilities consistent with related policies, procedures, and agreements.

PR.AT-1: All users are informed and trained

PR.AT-2: Privileged users understand roles & responsibilities

PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand roles & responsibilities

PR.AT-4: Senior executives understand roles & responsibilities

PR.AT-5: Physical and information security personnel understand roles & responsibilities

Data Security (PR.DS): Information and records (data) are managed consistent with the organization’s risk strategy to protect the confidentiality, integrity, and availability of information.

PR.DS-1: Data-at-rest is protected PR.DS-2: Data-in-transit is protected PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition

PR.DS-4: Adequate capacity to ensure availability is maintained

PR.DS-5: Protections against data leaks are implemented

PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity

PR.DS-7: The development and testing environment(s) are separate from the production environment

Information Protection Processes and Procedures (PR.IP): Security policies (that address purpose, scope, roles, responsibilities, management commitment, and coordination among organizational entities), processes, and procedures are maintained and used to manage protection of information systems and assets.

PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained

PR.IP-2: A System Development Life Cycle to manage systems is implemented

PR.IP-3: Configuration change control processes are in place

PR.IP-4: Backups of information are conducted, maintained, and tested periodically

PR.IP-5: Policy and regulations regarding the physical operating environment for organizational assets are met

PR.IP-6: Data is destroyed according to policy

PR.IP-7: Protection processes are continuously improved

PR.IP-8: Effectiveness of protection technologies is shared with appropriate parties

Page 23: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

223

Livello 1 Livello 2 Livello 3 PR.IP-9: Response plans (Incident Response and Business Continuity) and recovery plans (Incident Recovery and Disaster Recovery) are in place and managed

PR.IP-10: Response and recovery plans are tested

PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)

PR.IP-12: A vulnerability management plan is developed and implemented

Maintenance (PR.MA): Maintenance and repairs of industrial control and information system components is performed consistent with policies and procedures.

PR.MA-1: Maintenance and repair of organizational assets is performed and logged in a timely manner, with approved and controlled tools

PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access

Protective Technology (PR.PT): Technical security solutions are managed to ensure the security and resilience of systems and assets, consistent with related policies, procedures, and agreements.

PR.PT-1: Audit/log records are determined, documented, implemented, and reviewed in accordance with policy

PR.PT-2: Removable media is protected and its use restricted according to policy

PR.PT-3: Access to systems and assets is controlled, incorporating the principle of least functionality

PR.PT-4: Communications and control networks are protected

DETECT (DE)

Anomalies and Events (DE.AE): Anomalous activity is detected in a timely manner and the potential impact of events is understood.

DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed

DE.AE-2: Detected events are analyzed to understand attack targets and methods

DE.AE-3: Event data are aggregated and correlated from multiple sources and sensors

DE.AE-4: Impact of events is determined

DE.AE-5: Incident alert thresholds are established

Security Continuous Monitoring (DE.CM): The information system and assets are monitored at discrete intervals to identify

DE.CM-1: The network is monitored to detect potential cybersecurity events

DE.CM-2: The physical environment is monitored to detect potential cybersecurity events

Page 24: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

G. Butti, A. Piamonte

224 La Comunicazione N.R.& N.

Livello 1 Livello 2 Livello 3 cybersecurity events and verify the effectiveness of protective measures.

DE.CM-3: Personnel activity is monitored to detect potential cybersecurity events

DE.CM-4: Malicious code is detected DE.CM-5: Unauthorized mobile code is detected

DE.CM-6: External service provider activity is monitored to detect potential cybersecurity events

DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed

DE.CM-8: Vulnerability scans are performed

Detection Processes (DE.DP): Detection processes and procedures are maintained and tested to ensure timely and adequate awareness of anomalous events.

DE.DP-1: Roles and responsibilities for detection are well defined to ensure accountability

DE.DP-2: Detection activities comply with all applicable requirements

DE.DP-3: Detection processes are tested

DE.DP-4: Event detection information is communicated to appropriate parties

DE.DP-5: Detection processes are continuously improved

RESPOND (RS)

Response Planning (RS.RP): Response processes and procedures are executed and maintained, to ensure timely response to detected cybersecurity events.

RS.RP-1: Response plan is executed during or after an event

Communications (RS.CO): Response activities are coordinated with internal and external stakeholders, as appropriate, to include external support from law enforcement agencies.

RS.CO-1: Personnel know their roles and order of operations when a response is needed

RS.CO-2: Events are reported consistent with established criteria

RS.CO-3: Information is shared consistent with response plans

RS.CO-4: Coordination with stakeholders occurs consistent with response plans

RS.CO-5: Voluntary information sharing occurs with external stakeholders to achieve broader cybersecurity situational awareness

Analysis (RS.AN): Analysis is conducted to ensure adequate response and support

RS.AN-1: Notifications from detection systems are investigated

RS.AN-2: The impact of the incident is understood

Page 25: La Comunicazione N.R.&N. - ISCOM - Istituto Superiore ... · UE sulla privacy) fra le varie novitàintrodotte richiede che il DATA ... tempestivamente alla Banca d’Italia, con l’invio

Un modello per la valutazione dei rischi relativamente al trattamento dei dati personali nelle comunicazioni elettroniche A risk assessment model regarding the personal data processing in electronic communications

225

Livello 1 Livello 2 Livello 3 recovery activities. RS.AN-3: Forensics are performed

RS.AN-4: Incidents are categorized consistent with response plans

Mitigation (RS.MI): Activities are performed to prevent expansion of an event, mitigate its effects, and eradicate the incident.

RS.MI-1: Incidents are contained RS.MI-2: Incidents are mitigated RS.MI-3: Newly identified vulnerabilities are mitigated or documented as accepted risks

Improvements (RS.IM): Organizational response activities are improved by incorporating lessons learned from current and previous detection/response activities.

RS.IM-1: Response plans incorporate lessons learned

RS.IM-2: Response strategies are updated

RECOVER (RC)

Recovery Planning (RC.RP): Recovery processes and procedures are executed and maintained to ensure timely restoration of systems or assets affected by cybersecurity events.

RC.RP-1: Recovery plan is executed during or after an event

Improvements (RC.IM): Recovery planning and processes are improved by incorporating lessons learned into future activities.

RC.IM-1: Recovery plans incorporate lessons learned

RC.IM-2: Recovery strategies are updated

Communications (RC.CO): Restoration activities are coordinated with internal and external parties, such as coordinating centers, Internet Service Providers, owners of attacking systems, victims, other CSIRTs, and vendors.

RC.CO-1: Public relations are managed

RC.CO-2: Reputation after an event is repaired

RC.CO-3: Recovery activities are communicated to internal stakeholders and executive and management teams