Misure di Sicurezza e Risk Management nel GDPR Componenti del processo di analisi e gestione del rischio di protezione deidati personali
Enrico TOSOMilano, 29 GENNAIO 2016
#READY4EUDATAP
#READY4EUDATAP
“Da un lato, è cambiato il rapporto tra il diritto alla riservatezza e la tutela
di altri valori, primi fra tutti il diritto alla sicurezza (...); da un altro lato, lo
sviluppo dei sistemi di telecomunicazione offre continuamente nuove
possibilità di acquisizione, conservazione, utilizzazione dei dati e delle
informazioni, a costi sempre più contenuti.
L'incrocio di questi fenomeni è il terreno sul quale la protezione dei dati è
costantemente sfidata. Questo ci spinge a svolgere in modo nuovo il
nostro ruolo e ad estendere le frontiere oltre il puro presidio del diritto
individuale. Il nostro sforzo e' orientato a proteggere più che a
prescrivere, ad avvisare e informare più che vietare, a mettere tutti,
cittadini, istituzioni, imprese, organizzazioni sociali e culturali, di fronte ai
mutamenti del nostro tempo, aiutandoli a comprendere i fenomeni in atto
e ad essere più consapevoli dei rischi delle nuove tecnologie“
(G. Pizzetti)
#READY4EUDATAP
Premessa
Questo estratto ci introduce al tema che si pone il nuovo Regolamento, di
mediare tra interessi economici, utilizzo delle tecnologie e protezione
dei dati interpretando due contrapposizioni di fondo: da un lato impiegare
le tecnologie come servizio per favorire lo sviluppo degli scambi tutelando
i diritti degli interessati e, dall'altro, contrastare le minacce che sorgono
dal canale tecnologico e le insidie dei comportamenti malevoli
accrescendo la consapevolezza e la fiducia di tutti coloro che hanno
necessità di utilizzare o di trasferire i propri dati.
L’obiettivo è quello di far prevalere, grazie alla tecnologia, la soluzione
che coniuga esigenze opposte. La tecnologia da minaccia deve diventare
ed essere percepita come una protezione, come un vantaggio.
Questo e' il compito che ci sfida in questa sede perché intendiamo
parlare di analisi e gestione dei rischi e della messa a punto di uno
strumento di analisi per sostenere chi ha necessità di prendere
decisioni consapevoli muovendosi tra esigenze contrapposte.
#READY4EUDATAP
Riferimenti concettuali
Quando si parla di Dati Personali si intendono Informazioni relative a
Persone Fisiche, soggette ad un trattamento.
Cos’è la Privacy ?
E’ un diritto che ha ogni persona di salvaguardare la propria unicità, il senso
della propria individualità ovvero, in ultima analisi, tutti i dati che la riferiscono
univocamente.
Si puo’ vedere in due forme, a cui corrispondono diversi tipi di intrusione:
PRIVACY FISICA, che corrisponde alla possibilità di una persona di
controllare il proprio spazio fisico.
L’intrusione si può manifestare nell’altrui ricerca di un’intimità indesiderata o
nell’ingresso in una proprietà personale, in un’atto di interferenza fisica, in
un’azione di sorveglianza, nell’acquisizione non autorizzata di dati biometrici.
#READY4EUDATAP
Riferimenti concettuali
PRIVACY DELLE INFORMAZIONI, che corrisponde alla possibilità di
una persona di controllare, gestire, modificare o cancellare informazioni
di se stessa e decidere come e con quale estensione tali informazioni
possano essere comunicate all’esterno.
L’intrusione puo’ manifestarsi nella raccolta mirata di informazioni
personali, nella diffusione senza il consenso di informazioni personali,
nell’abuso di tali informazioni. Può includere la raccolta di informazioni,
attraverso il monitoraggio, su come l’individuo agisce in ambito pubblico o
privato, attraverso l'osservazione di comunicazioni postali, telefoniche o
informatiche, e si estende all'osservazione di chi ha originato o ricevuto la
comunicazione come pure del contenuto della comunicazione.
__________________________________________________________
Queste considerazioni ci introducono a usare il significato di intrusione
come minaccia e come componente del rischio.
#READY4EUDATAP
Analisi di rischio a partire dalla progettazione
Le analisi di rischio dettate da normative hanno finora richiesto di
valutare gli impatti sui processi e sui prodotti in esercizio.
Pensiamo, ad esempio, alle istruzioni di vigilanza di BankIt che
chiedono alle banche di presidiare e di gestire il rischio di
incorrere in sanzioni, perdite o danni di reputazione in
conseguenza di norme, di condurre attività di gestione dei rischi
operativi e informatici in particolare come controlli di secondo
livello sui processi, allo scopo di monitorare l'efficacia delle
misure di protezione delle risorse ICT e di stimare i costi in caso
di incidenti.
Nel caso del nuovo Regolamento Privacy è esplicito che l'analisi
dei rischi deve essere compiuta a partire dalle fasi di
progettazione di un prodotto o servizio pensando ai possibili
impatti che questo avrà quando sarà in esercizio.
#READY4EUDATAP
Occorre operare una separazione concettuale dei due tipi di
misure per comprendere un aspetto evolutivo del nuovo
Regolamento
E’ opportuno distinguere le attività e le soluzioni per la sicurezza
dei dati (riferite ad un ambito di gestione informatica dei dati in
genere) e le attività e le soluzioni per la protezione dei dati
(riferite ad un ambito pertinente ai dati personali)
Nell’attuale Codice sulla Protezione dei Dati Personali si parla di
misure minime (di sicurezza) e di misure idonee. Il riferimento e’
quasi esclusivamente fatto alla sicurezza dei dati e dei sistemi
informativi, intesi come strumenti prevalenti del trattamento
(benché nella definizione di trattamento oggi siano citati anche
quelli senza l’ausilio degli strumenti informatici).
Misure di sicurezza dei dati (Information Security)e misure di protezione dei dati (Data Protection)
#READY4EUDATAP
Attuali misure di protezione dei dati
Nell’attuale codice
- il concetto di "misure minime", intese come “il complesso delle
misure tecniche, informatiche, organizzative, logistiche e
procedurali di sicurezza che configurano il livello minimo di
protezione richiesto in relazione ai rischi previsti” (Art. 31), per
come sono dettagliate al capo II – Art. 33 e 34 e nell’Allegato B –
Disciplinare Tecnico, porta a concludere che il livello minimo di
protezione si attua mediante misure di sicurezza;
- le misure “idonee” devono invece essere identificate dal
Titolare sulla base della natura dei dati, delle caratteristiche del
trattamento e dello stato del progresso tecnico. In ogni caso è
già presente il concetto fondamentale che la misura deve essere
proporzionata al rischio.
#READY4EUDATAP
Nuove misure di protezione dei dati
Nel nuovo testo del GDPR gli aspetti di sicurezza (art. 30) e gli
aspetti di protezione (art. 33) dei dati vengono trattati in due
Sezioni diverse anche se in entrambi i casi viene riferita la
necessità di eseguire valutazioni di rischio. La novità è che
questa separazione permette di mettere meglio in evidenza le
nuove misure suggerite dal GDPR, che superano il concetto
quasi riduttivo di misure di sicurezza per diventare in modo più
appropriato vere misure di protezione.
Quelle che seguono sono soluzioni tecnologiche utili a
proteggere i dati personali esposti a un rischio elevato per i diritti
e le libertà delle persone fisiche, come rilevato a seguito di una
valutazione d’impatto.
#READY4EUDATAP
Nuove misure di protezione dei datiAnonimizzazione: è la rimozione o la mascheratura delle informazioni
personali quando non necessarie (ad esempio parliamo
di mascheratura dell’indirizzo IP per consentire
l’anonimizzazione degli indirizzi IP degli utenti)
Pseudonimizzazione: è la sostituzione dei riferimenti personali con
identificatori finti e la garanzia che le informazioni
aggiuntive per l'attribuzione dei dati personali ad un
interessato specifico siano conservate in metadati
separati.
Cifratura dei messaggi o degli archivi: è una codifica che rende
incomprensibili i dati acceduti tranne ai soli autorizzati
che possiedono la chiave di decifrazione
Controllo periodico, monitoraggio e correlazione degli eventi: nel
testo non è molto evidente e si incontrano solo riferimenti
al controllo da parte dell’interessato e al monitoraggio da
parte delle autorità di controllo; al Considerando 75 e
all’Art. 43 si parla del controllo “interno”, cioè a livello
aziendale, del rispetto del presente Regolamento in una
citazione piuttosto sintetica.
#READY4EUDATAP
Privacy by default – quali contenuti ?
Dove troviamo un riferimento operativo ai contenuti della Privacy
by default ? (di cui al Considerando. 61, 83 e all’ Art. 23)
Per un altro verso, il GDPR fa evolvere il concetto di misura
minima.
Occorre far riferimento all’Art. 5 dove viene arricchito l’insieme
dei princìpi generali che devono esser soddisfatti per qualunque
tipo di dato, per qualunque tipo di trattamento e per qualunque
finalità: questi aspetti ci portano al concetto di privacy by default.
#READY4EUDATAP
Privacy by default – quali contenuti ?
Possiamo sintetizzare queste misure nel rispetto dei principi di:
minimizzazione, liceità e trasparenza, compatibilità (dei
trattamenti alle finalità), sicurezza e contrasto all’uso illecito,
accuratezza e aggiornamento, periodo di conservazione,
prevalenza dell’interesse pubblico.
L’applicazione di queste misure necessarie non richiede
valutazioni preliminari d’impatto o analisi di rischio complesse.
Anche se in termini sommari, possiamo assumere che:
come l’attuale Codice Privacy richiede che le misure minime di
sicurezza (di cui agli art.33 34 35 36 e al Disciplinare Tecnico -
Allegato B) devono arricchirsi, quando necessario, di ulteriori
misure idonee così i principi generali riportati al Art. 5 e al
Considerando 61 del GDPR (e dunque la privacy by default)
devono integrarsi con le misure identificate grazie al processo di
analisi d’impatto (PIA).
#READY4EUDATAP
Analisi del rischio per la sicurezza dei dati
Un’attività di valutazione del rischio per la sicurezza dei dati va
svolta quando i trattamenti presentano rischi di violazione della
sicurezza, che derivano da:
- distruzione, perdita > DISPONIBILITA’
- modifica > INTEGRITA’ – AUTENTICITA’
- rivelazione non autorizzata > RISERVATEZZA
- accesso (non autorizzato) > RISERVATEZZA
sia accidentale sia illecita a dati personali che potrebbero
causare un danno (fisico, materiale, morale) agli interessati.
(da Art. 30)
#READY4EUDATAP
APPROCCIO PREDETERMINATO
Codici di condotta approvati in funzione di esigenze di settore,
certificazioni approvate, Linee Guida del Comitato Europeo per la
protezione dei dati, con riferimento a operazioni di trattamento che si
ritiene improbabile possano determinare un rischio elevato per i diritti e le
libertà delle persone fisiche, possono definire misure sufficienti
predisposte per far fronte a rischi predeterminati.
(da Consid. 60 quater, Art. 38)
Analisi del rischio per la protezione dei dati
#READY4EUDATAP
Analisi del rischio per la protezione dei dati
Tecnologia
disponibile
Esigenze di tutela
degli interessati
L’analisi del rischio connesso
al trattamento deve essere
valutato in base a:
- natura del trattamento
- oggetto del trattamento
- contesto del trattamento
- finalità del trattamento
-coefficiente di probabilità
dell'evento
-coefficiente di gravità
dell‘impatto in caso di
violazione dei diritti e delle
libertà delle persone fisiche
Misure tecniche
e organizzative
opportune
Dimostrazione di
adeguatezza
delle misure
Costi di
attuazione
(da Art. 33)
APPROCCIO RISK DRIVEN
#READY4EUDATAP
Abbiamo bisogno di un processo che consenta di
identificare le misure opportune di mitigazione attraverso
un processo strutturato di analisi e gestione del rischio
che parte dalla valutazione preventiva degli impatti.
Soluzioni opportune perché proporzionate alle finalità e
all’oggetto del trattamento, alle risorse tecniche
disponibili e agli impatti stimati, cioè proporzionate al
rischio. Questo e’ l’obiettivo del processo PIA.
Analisi del rischio per la protezione dei dati
#READY4EUDATAP
Un’attività di valutazione del rischio per la protezione dei dati
personali fa riferimento al Privacy Impact Assessment (PIA)
• Il PIA è un processo di valutazione di impatto delle operazioni di trattamento
previste sui dati personali, mirato alla minimizzazione del rischio privacy
• va eseguita quando si presenta un rischio elevato per i diritti e le liberta delle
persone fisiche (ad es. discriminazione, furto d'identità …) o altro danno
economico o sociale importante
• va eseguita rigorosamente prima di procedere al trattamento
• deve contenere la caratterizzazione di tutte le operazioni di trattamento
previste, una valutazione del rischio, le misure di sicurezza, le garanzie, i
controlli e le soluzioni necessarie alla protezione e alla sicurezza dei dati
personali
• deve dimostrare la conformità al Regolamento
• se gli esiti della valutazione dimostrano che il rischio residuo è elevato e non
mitigabile rispetto alla tecnologia disponibile / costi ragionevoli di attuazione,
occorre consultare l'Autorità di controllo fornendo le evidenze dell'analisi
PIA – Considerazioni preliminari
#READY4EUDATAP
• Il PIA e’ un processo codificato e strutturato in fasi dunque uno
strumento operativo, che aiuta le organizzazioni ad analizzare con
sistematicità, a individuare e a ridurre i rischi privacy per gli
individui interessati coinvolti dal rilascio di un nuovo progetto,
soluzione o regola.
• Il PIA e’ parte integrante dell’approccio Privacy by Design, anzi
aiuta ad assicurare che i problemi potenziali siano identificati
negli stadi iniziali del progetto, quando la possibilità di indirizzarli
è spesso più efficace e meno costosa
• Le fasi devono avere un ciclo ricorsivo per attualizzare la
valutazione fatta inizialmente a mano a mano che si procede con il
progetto e vengono attuate le misure pianificate.
PIA – Considerazioni preliminari
#READY4EUDATAP
• Il PIA si deve anche integrare con i processi di Project
Management definiti a livello aziendale; dunque e’ opportuno che
ogni organizzazione ne sviluppi un proprio modello in base alle
proprie necessità e lo correli con le pratiche operative di gestione
dei singoli progetti.
• Non sembra significativo eseguire un PIA su un servizio
esistente a meno che non sia necessario riesaminarlo, prima di
modificarlo, per assicurare che ci sia un'opportunità di farlo
evolvere in modo conforme. Dunque il PIA è anche un modo
efficace per rispondere agli obblighi normativi.
• Sarebbe assolutamente auspicabile lo sviluppo di una metodologia
settoriale in grado di mettere a fuoco quesiti mirati di analisi per
individuare rischi di privacy comuni e possibili soluzioni di settore.
PIA – Considerazioni preliminari
#READY4EUDATAP
PIA - Elementi in input dell’analisi
Per condurre un PIA dobbiamo raccogliere informazioni per rispondere a:
- su cosa verte il progetto: occorre evidenziare le nuove funzionalità che
verranno esposte, le interfacce che dovranno essere utilizzate, l'operatività
offerta o richiesta all'utente
- cosa deve essere garantito di default: in pratica le misure già previste in
rispetto ai principi generali dell’Art. 5 (allegato)
- cosa si propone il progetto: come intendiamo debba essere usato il nuovo
servizio, le finalità dei trattamenti, l'ambito di fruizione, i tipi di dati, i tipi di
trattamento
- come pensiamo che potranno essere ulteriormente trattati i dati (dovendo
sempre prefigurare possibili usi al di fuori dei trattamenti specificati)
- quale potrebbe essere un legittimo interesse del responsabile di trattare i dati
(es. monitorare il traffico) ai fini della sicurezza dei propri sistemi informatici
(reti e apparati) per prevenire gli eventi imprevisti e le frodi e per contrastare gli
illeciti.
#READY4EUDATAP
PIA – Sommario delle fasi
Le fasi del processo PIA possono essere condotte e registrate
secondo il seguente schema :
1 : Valutazione preliminare di opportunità per un PIA
2 : a. Descrizione dei flussi di informazioni
b. Ruoli e coinvolgimento dei partecipanti
3 : Identificazione dei rischi privacy e di quelli correlati
4 : Individuazione delle soluzioni e delle misure
5 : Approvazione delle decisioni e registrazione dei risultati
6 : Integrazione dei risultati del PIA nel piano di progetto
#READY4EUDATAP
PIA – Fase 1
Questa fase serve ad un’organizzazione :
• a spiegare ciò che il progetto intende realizzare, quali sono i benefici
attesi per l'organizzazione, per gli individui e per le altre parti
• a decidere, in base ad un insieme di domande mirate di screening, se
un PIA sia necessario (v. allegato)
• a dimensionare le risorse a seconda dell’entità del progetto e il tempo
necessario alla valutazione
• a capire gli impatti potenziali e i passi che potrebbero essere richiesti
per identificare e ridurre il rischio.
Una volta che sia stata identificata la necessità di svolgere un PIA si
esegue la valutazione di come le fasi di un PIA si integrano in quelle del
processo di project management già consolidato all’interno
dell’organizzazione. Questo ha lo scopo di far convergere i rilievi emersi
dal PIA all’interno delle fasi di sviluppo di un progetto in modo che gli
output di ogni fase di progetto ne tengano conto.
Valutazione preliminare di opportunità per un PIA
#READY4EUDATAP
PIA – Fase 2 A
Una valutazione approfondita dei rischi e dei relativi impatti per la privacy è
possibile solo se si evidenziano gli elementi che caratterizzano il trattamento
dei dati. Occorre descrivere:
- quali informazioni sono utilizzate
- come vengono trattate nelle singole fasi
- a cosa servono, ovvero per quale finalità
- da chi sono ottenute, a chi sono comunicate
- chi ne deve avere accesso
Questa fase del processo PIA può essere supportata da fonti informative già
disponibili all'interno dell'organizzazione per descrivere come i dati saranno
utilizzati, ad es.: un diagramma che riporti i flussi informativi tra i vari
soggetti o sistemi, la sequenza prevista delle operazioni di gestione dei dati,
rapporti di audit sull’uso delle informazioni, mappe informative, registri di
asset informativi.
Descrizione dei flussi di informazioni
#READY4EUDATAP
PIA – Fase 2 B
Ogni organizzazione può decidere chi sia in una posizione più opportuna
per coordinare o condurre un PIA.
In ogni caso e’ verosimile che le organizzazioni più complesse si dotino di
un DPO che può giocare un ruolo chiave, con l‘autorità di rivolgersi a chi
è in grado di guidare le fasi del PIA sui processi esistenti. Questa figura
può essere anche in grado di mantenere traccia di tutte i PIA eseguiti e di
seguire le implicazioni derivanti dalla nuove.
Laddove non sia stato ancora identificato un DPO è possibile far
condurre i PIA da non esperti laddove siano state identificate delle figure
di project manager o di risk manager (anche senza conoscenza
specialistica sulla protezione dei dati) purché in grado di applicare un
metodo guida basato su quesiti che li aiutino a focalizzare gli aspetti
rilevanti (vedi Fase 1).
Ruoli e coinvolgimento dei partecipanti
#READY4EUDATAP
PIA – Fase 2 B
Condurre un PIA significa lavorare in team all’interno di una
organizzazione. Un PIA efficace includerà coinvolgimenti e
consultazione di persone provenienti da settori diversi di
un’organizzazione in grado, ciascuno, di individuare differenti
rischi di privacy e soluzioni basate sulla rispettiva area di
interesse o di esperienza (v. allegato).
Laddove opportuno si potrà prevedere l’eventualità di ottenere
contributi anche dalle persone che sono direttamente impattate
dal nuovo servizio allo scopo di raccogliere riscontri da parte di
chi ha una percezione pratica degli effetti.
#READY4EUDATAP
PIA – Fase 3
In questa fase occorre valutare gli aspetti di Privacy che
espongono il progetto in esame a rischi di Privacy.
Un principio chiave è che il processo PIA è insieme una forma di
risk assessment e di risk management per quanto riguarda le
implicazioni specifiche di Privacy. Dunque l'organizzazione deve
considerare come il progetto potrà generare eventuali problemi
alla privacy degli interessati che, a loro volta, si ripercuoteranno
sulla stessa organizzazione se non indirizzati correttamente. Ad
esempio un progetto che è intrusivo sul fronte del pubblico
aumenta anche i rischi di multe, di danni reputazionali, o di
perdite di business se rilasciato con carenze o soluzioni
inappropriate.
Identificazione dei rischi privacy e di quelli correlati
#READY4EUDATAP
PIA – Fase 3
Il problema è come identificare e gestire in modo sistematico
l'insieme dei rischi. E' per questo che nella fase precedente di
descrizione dei flussi informativi si è cercato di immaginare una
sequenza composta da stadi di utilizzo dei dati come una
sequenza logica dei trattamenti, da quando i dati vengono
ricevuti dall'esterno a quando vengono aggregati, elaborati,
storicizzati e poi ulteriormente trasferiti.
A questo punto è importante applicare a questi stadi un set di
quesiti che consenta di far emergere le vulnerabilità e le
minacce e su queste determinare gli effetti su cui quantificare gli
impatti.
#READY4EUDATAP
PIA – Fase 3
Le organizzazioni potrebbero decidere di usare standard di
settore o proprie metodologie di Project Management o di Risk
Management per aiutarsi a categorizzare, identificare e misurare
i rischi.
Si suggerisce di valutare il rischio in termini di coefficienti di
probabilità e di gravità secondo scale numeriche associate a
classi di valori.
Il documento centrale di questa fase è il Privacy Risk Register
dove sono riportate le descrizioni delle valutazioni fatte, al fine di
dettagliare la mappatura dei rischi (integrabile nel Risk Register
di progetto). E' implicito che progetti di minore portata possono
avere un approccio al rischio meno formale che riduce il
dettaglio dell'analisi riportata nel Risk Register.
#READY4EUDATAP
PIA – Fase 3
Item
Privacy
Rischi nei confronti degli
individui
Rischi nei confronti
dell'organizzazioneRischi di conformità
I rischi nei confronti degli
individui possono essere
categorizzati in modo diverso
ma e' importante che siano
considerati:
- i rischi per la sicurezza fisica
- i rischi materiali (ad es. perdite
finanziarie causate da frodi o
dati inesatti o una violazione
della sicurezza)
- i rischi morali (ad es.
preoccupazione per la diffusione
di una notizia riservata o per
un'intrusione non prevista)
I rischi nei confronti
dell'organizzazione,
possono consistere in
danni alla reputazione
con conseguente
perdita di business o in
costi finanziari a seguito
di una violazione dei
dati
I rischi legali di
conformità (ad es. al
GDPR, al PECR, alla Legge
sui Diritti Umani)
possono comportare
penali o multe
Si consideri l'insieme dei
principi applicabili di
default riportati in
allegato che servono a
identificare se i principali
criteri di conformità sono
stati trattati e come
Esempio di Risk Register
#READY4EUDATAP
PIA – Fase 3
Vulnerabilità Minaccia Probab. [P1]
Effetto / Impatto Gravità [G1]
Controlli inadeguati di blocco alla divulgazione dei dati di identità
Possono aumentare la probabilità di diffusione impropria delle informazioni
3 Rischio materiale di perdita dovuta alla sottrazione delle identità
4
Il contesto in cui un'informazione viene usata o resa nota può cambiare nel tempo
Può portare ad un uso per scopi diversi da quelli intesi inizialmente senza che gli interessati lo sappiano
2 Rischio morale di tensione e di fastidio nel vedersi coinvolto in attività non di interesse o non volute
3
Nuovi metodi di sorveglianza
Possono comportare un intrusione ingiustificata
3 Rischio per la sicurezza fisica
4
Una raccolta massiccia di informazioni su individui
Può portare a prendere misure nei loro confronti
4 Rischio morale di subire attività intrusive e di subire ingerenze inattese
4
A titolo di esempio segue una matrice che esamina possibili rischi verso gli individui :
#READY4EUDATAP
PIA – Fase 3
A titolo di esempio segue una matrice che esamina possibili rischi nei confronti
dell'organizzazione (Corporate risk) :
Vulnerabilità Minaccia Probab. [P1]
Effetto / Impatto Gravità [G1]
Una lettura non attenta o una conoscenza non approfondita della norma può comportare
non conformità con GDPR o altri atti legislativi.
2 Può comportare sanzioni, penali o danni reputazionali
4
Una scarso investimento su attività di analisi preliminare può comportare
problemi che vengono identificati solo dopo che il progetto e' stato lanciato
3 possono comportare rimedi o soluzioni più costose
3
L'uso di informazioni biometriche o di tecnologie di tracciamento potenzialmente invasive
può causare maggiore preoccupazione negli interessati e portarli ad evitare interazioni con l'organizzazione
1 causando danno di immagine e minore opportunità di business
4
#READY4EUDATAP
PIA – Fase 4
In questa fase le organizzazioni hanno bisogno di identificare quali soluzioni
possono essere intraprese per i rischi che hanno identificato. Il PIA dovrebbe
offrire una serie di possibili opzioni per indirizzare ciascun rischio anche se
va considerato che lo scopo non è quello di eliminare completamente
l'impatto ma è quello di ridurre l'impatto ad un livello accettabile pur
consentendo di realizzare un'iniziativa. Dunque in questa fase, mentre si
decide sulle possibili soluzioni, è sempre utile soppesare se gli scopi e i
risultati del progetto sono proporzionati con l'impatto previsto sugli
interessati. Pertanto è opportuno tener traccia della misura di riduzione di
rischio che ogni soluzione intende apportare.
Le organizzazioni hanno anche bisogno di valutare i costi e i benefici delle
possibili soluzioni. Alcuni costi sono di natura prettamente finanziari, ad
esempio quando deve essere acquistato un nuovo software per garantire un
maggiore controllo sull'accesso e sulla conservazione. Ma i maggiori costi
devono essere bilanciati rispetto ai benefici attesi, come per esempio una
maggiore garanzia per proteggersi da violazioni dei dati, un minore rischio di
sanzioni o provvedimenti o di essere esposti ad effetti reputazionali.
Individuazione delle soluzioni e delle misure
#READY4EUDATAP
PIA – Fase 4
Rischio
Rif.Soluzione Risultato [P2] [G2] Valutazione
Pseudonimizzazione
Anonimizzazione
Cifratura dei
messaggi o degli
archivi
Controllo periodico
e monitoraggio
Il rischio è
stato
eliminato,
ridotto o
accettato
1
2
3
4
5
1
2
3
4
5
L'impatto finale
dopo la
realizzazione di
ciascuna soluzione
costituisce una
risposta
giustificata,
conforme e
proporzionata agli
scopi del progetto
Il rischio viene ricalcolato in modo che sia evidente il valore finale [2] rispetto a quello
iniziale [1] così da pesare l’efficacia della misura introdotta.
Sulla base degli interventi eseguiti, il Risk Register va tenuto aggiornato per riflettere
come le misure introdotte abbiano cambiato il livello di rischio.
#READY4EUDATAP
PIA – Fase 5
Per le soluzioni che si è deciso di portare avanti è opportuno tener
traccia dei passi seguiti nel processo decisionale, compreso chi li
abbia approvati. Parimenti, se si fosse deciso di accettare un rischio,
dovrebbe essere esplicita l’argomentazione sostenuta e l’assunzione
di responsabilità.
Risk Rif. Soluzione
decisa
Requisito
derogato
Approvato da
Approvazione delle decisioni e registrazione dei risultati
#READY4EUDATAP
PIA – Fase 5
Si ritiene utile giungere alla conclusione delle attività producendo un
report finale, da allegare alla documentazione di progetto, per
riassumere il processo e i passi compiuti per mitigare il rischio
privacy e per consentire di ricostruire a posteriori i motivi delle scelte
fatte sulla base dei rischi individuati.
Si consideri che una registrazione del processo PIA può anche
costituire una forma di comunicazione e di trasparenza verso gli
interessati che ne richiedano la consultazione e diventare così una
strategia di comunicazione.
Si consideri che un report PIA potrebbe non essere il solo
documento prodotto come risultato del processo ma il PIA potrebbe
aver fatto emergere il bisogno di una nuova comunicazione o regola
da trasmettere agli interessati.
#READY4EUDATAP
PIA – Fase 6
I rilievi PIA e le azioni dovrebbero esser integrate con il piano di
progetto complessivo man mano che si sviluppa. Anche se la
maggior parte dell'impegno per il PIA risiede nelle fasi iniziali del
progetto, potrebbe essere necessario ritornare al PIA in vari stadi
dello sviluppo e della realizzazione del progetto per avere conferma
che le soluzioni sono state correttamente realizzate e hanno ottenuto
l'effetto desiderato.
E' probabile che i progetti di grande estensione ottengano benefici
da un processo di revisione più formale. Un PIA potrebbe generare
azioni che continuano dopo che la valutazione è finita per cui è
necessario che queste azioni vengano monitorate.
In questa fase occorre tener traccia di ciò che si può imparare per i
progetti futuri.
Integrazione dei risultati del PIA nel piano di progetto
#READY4EUDATAP
Riferimenti bibliografici
Questions and Answers – Data Protection reform 21 dic 2015http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm
Conducting PIA – Code of Practice – Data Protection Act – ICOhttps://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf
PIA GUIDE - U.S. Securities and Exchange Commissionhttps://www.sec.gov/about/privacy/piaguide.pdf
Guide to conducting PIA - U.S. Department of Justice - 2012http://www.it.ojp.gov/documents/d/Guide%20to%20Conducting%20Privacy%20Impact
%20Assessments_compliant.pdf
G. Pizzetti – Sette anni di protezione dati in Italia 2005 - 12 - Ed.
G. Giappichelli
#READY4EUDATAP
Allegati
- PIA Fase 1 – Domande di screening
- PIA Fase 2B – Ruoli da coinvolgere nelle fasi del PIA
- PIA Fase 3 – Principali misure per ridurre il rischio
- PIA Fase 3 – Aree di attenzione per la sicurezza dei servizi
online
- Principi applicabili di default
- Estratto articoli GDPR
#READY4EUDATAP
PIA – Fase 1
• Il progetto comporta la raccolta di nuove informazioni sugli individui ?
• Il progetto costringerà gli individui a fornire informazioni su se stessi ?
• Informazioni su individui saranno divulgate a organizzazioni o persone
che in precedenza non hanno avuto accesso a tali informazioni ?
• Si sta per utilizzare informazioni su individui per uno scopo attualmente
non previsto o in un modo che non è attualmente utilizzato ?
• Il progetto prevede l’uso di nuove tecnologie che potrebbero essere
percepite come intrusive della privacy ? (ad es. l'uso della biometria e
del riconoscimento facciale)
• Porterà il progetto a prendere decisioni o intraprendere azioni nei
confronti di individui tali da avere un impatto significativo su di loro ?
• Le informazioni sugli individui sono di tipo tale da sollevare
verosimilmente problemi o aspettative di privacy ? (ad es. cartelle
cliniche, casellario giudiziario o altre informazioni particolarmente
private)
• Il progetto richiederà di contattare individui in un modo che essi
potranno trovare invadente ?
Domande di screening
#READY4EUDATAP
PIA – Fase 2B
Ruoli da coinvolgere in fasi predefinite del PIA possono essere:
• Il team di Project Management, per definizione responsabile dell’implementazione di un progetto
• Il DPO, se nominato all’interno dell’organizzazione, comunque di supporto al PM se questi fosse
nominato responsabile dello specifico PIA
• Progettisti e sviluppatori, cioè coloro che concepiscono o sviluppano un prodotto, per comprendere
come approcciare le esigenze di privacy ed essere in grado di proporre soluzioni ai rischi identificati
• Figure dell’IT, per rilevare rischi e proporre eventuali soluzioni relative alla sicurezza, alle architetture
informatiche, alle applicazioni software, quando si possa applicare la cifratura, la anonimizzazione, la
pseudonimizzazione o la cifratura dei dati sui sistemi
• Acquisti, nel caso siano necessari componenti o servizi che devono essere approvvigionati
• Eventuali fornitori esterni o prestatori di servizi (processors), nel caso in cui parte del progetto sia
terziarizzato o si debba valutare se farlo
• Figure che lavorano nel Risk Management, per valutare la correttezza delle valutazioni eseguite
• Figure del Compliance, per garantire la conformità normativa della soluzione
• Figure di Business o comunque ruoli che si interfacciano con i clienti, per pesare gli impatti
(dimensione della gravità) o per individuare figure che eseguano test in ottica cliente e per validare la
robustezza delle soluzioni
• Ricercatori, analisti e statistici, per individuare procedure matematiche e statistiche adeguate a
rilevare correttamente i comportamenti, a rettificare i fattori che comportano inesattezze dei dati e a
minimizzare il rischio di errori
• La Communication, se si pensa di usare il PIA per trasmettere all’esterno un informativa sul progetto
• Il Senior Management, per garantire la solidità delle decisioni e del progetto nel suo complesso
#READY4EUDATAP
PIA – Fase 3
Alcune delle principali misure impiegabili per ridurre il rischio sono :
• decidere di non raccogliere o memorizzare specifici tipi di informazioni
• ideare periodi di conservazione mirati allo stretto tempo necessario e poi prevedere la
distruzione
• adottare specifiche misure tecnologiche di sicurezza
• garantire che il personale sia adeguatamente formato e consapevole dei potenziali rischi
di privacy
• sviluppare modi di pseudonimizzazione dei dati in modo sicuro laddove sia possibile farlo
• emettere guide operative per il personale su come usare i nuovi sistemi e su come
condividere i dati se appropriato
• usare sistemi che consentano agli interessati di accedere facilmente alle proprie
informazioni e alle organizzazioni di rispondere alle richieste di accesso degli interessati
• adottare misure per far sì che gli individui siano consapevoli di come sono trattate le
proprie informazioni e di come contattare l'organizzazione in caso di necessaria
assistenza
• selezionare gli incaricati in base alla loro capacità di garantire un maggior grado di
sicurezza e assicurare che esistano accordi per proteggere le informazioni che sono
elaborate per conto dell'organizzazione
• stringere accordi di condivisione dei dati che rendano evidente quale informazione debba
essere condivisa, come e con chi debba esserlo.
#READY4EUDATAP
PIA – Fase 3
Es. di Aree di attenzione per la sicurezza dei servizi online
• aggiornamenti software
• vulnerabilità a SQL injection
• disattivazione dei servizi non necessari
• decommissioning dei servizi o del software non usato
• memorizzazione delle password
• configurazione dei servizi SSL e TLS
• appropriatezza dei siti in base al trattamento previsto dei dati
• modifica dei settaggi e delle credenziali di default
#READY4EUDATAP
Principi applicabili di default - 1
Principi applicabili (di default) nel trattamento dei dati personali
Il soddisfacimento dei seguenti requisiti può essere considerato una misura necessaria
ma non sufficiente.
1) I dati personali devono essere trattati in modo lecito e legittimo
questo comporta che:
- siano definite le finalità di ciascun trattamento
- sia data trasparenza agli interessati circa i trattamenti applicati ai loro dati
- siano definite le condizioni per gli specifici trattamenti
- siano gestiti i consensi individuali al trattamento
- siano considerati prevalenti gli interessi sociali
2) I dati personali devono essere ottenuti solo per i trattamenti specificati e non
devono essere trattati in modo diverso o incompatibile con lo scopo dichiarato
questo comporta che:
- debba essere verificato se lo scopo di una nuova iniziativa è coperto dai
trattamenti già dichiarati e se eventuali nuovi scopi potenziali sono stati identificati
#READY4EUDATAP
Principi applicabili di default - 2
3) I dati personali devono essere adeguati, pertinenti e non eccessivi rispetto allo
scopo per cui sono trattati (Minimizzazione dei dati soggetti a trattamento)
questo comporta che:
- l'informazione che si sta usando sia di qualità adeguata allo scopo per cui e' usata
- siano definiti quali dati non servono senza compromettere i bisogni del progetto
4) I dati personali devono essere accurati e, quando necessario, tenuti aggiornati
questo comporta che:
- debba esser definito un modo per controllare la correttezza dei dati quando ottenuti
dagli interessati o da altre fonti
- se si sta ottenendo nuovo software sia possibile correggere i dati se necessario
5) I dati personali trattati per qualunque scopo non devono essere conservati per
un periodo maggiore di quanto sia necessario rispetto agli scopi intesi
questo comporta che:
- siano definiti i periodi di conservazione in modo compatibile con le esigenze del
trattamento
- siano definiti i meccanismi, prevalentemente automatici, per cancellare le
informazioni in conformità ai periodi di conservazione previsti
#READY4EUDATAP
Principi applicabili di default - 3
6) I dati personali devono essere trattati in conformità ai diritti degli interessati
questo comporta che:
- I sistemi consentano di rispondere alle richieste di accesso da parte degli
interessati, di limitare o di opporsi al trattamento, di rettificare i propri dati, di
cancellazione (oblio), di portabilità' ad altro operatore
- se un progetto include una finalità di marketing, deve esistere una procedura che
consenta agli interessati di escludere che i propri dati siano usati per quello specifico
scopo
- se un interessato ne chiede la rimozione (oblio) questa deve essere garantita
7) Adeguate misure tecniche e organizzative devono essere adottate per
contrastare l'uso o l'accesso non autorizzato o illecito dei dati personali e per
prevenire la perdita o la distruzione o il danneggiamento degli archivi anche accidentale
questo comporta che:
- vengano applicate tecniche di pseudonomizzazione fin dalle prime fasi di trattam.
- i sistemi siano provvisti di sistemi di protezione per prevenire i rischi di sicurezza
(accessi, alterazioni, perdite non volute)
- siano date istruzioni e fatto addestramento per assicurare che lo staff tecnico
conosca come operare con i sistemi esistenti e quelli nuovi in modo sicuro
- sia consentito al responsabile del trattamento di applicare e migliorare le
caratteristiche di sicurezza
#READY4EUDATAP
Principi applicabili di default - 4
8) I dati personali non devono essere trasferiti in un paese al di fuori dell'EEA a
meno che quel territorio assicuri un adeguato livello di protezione per i diritti e le libertà
degli interessati in relazione ai trattamenti previsti
questo comporta che:
- sia valutata l'esigenza eventuale di trasferire i dati dell'EEA
- nel caso, sia definita la modalità con cui viene assicurata la protezione dei dati
#READY4EUDATAP
Estratto articoli del GDPR - 1
Articolo 4 - Definizioni
3. "trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi
automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la
strutturazione, la memorizzazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il
raffronto o l’interconnessione, (…) la limitazione, la cancellazione o la distruzione;
9. "violazione dei dati personali": violazione di sicurezza che comporta accidentalmente o in modo illecito
la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi,
memorizzati o comunque elaborati;
12bis. "profilazione": qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo
di tali dati per valutare aspetti della personalità dell'interessato, in particolare per analizzare e prevedere
aspetti riguardanti il rendimento professionale, la situazione economica, lo stato di salute, le preferenze
personali o gli interessi, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti;
Articolo 5 - Principi applicabili al trattamento di dati personali
Articolo 6 - Liceità del trattamento
Articolo 23 - Protezione fin dalla progettazione e protezione di default
#READY4EUDATAP
Estratto articoli del GDPR - 2
Articolo 30 - Sicurezza del trattamento
1. Tenuto conto della tecnologia disponibile e dei costi di attuazione, nonché della natura, dell'oggetto, del
contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti
e le libertà delle persone fisiche, il responsabile del trattamento e l'incaricato del trattamento mettono in
atto opportune misure tecniche e organizzative quale (...) la pseudonimizzazione dei dati personali per
garantire un livello di sicurezza adeguato al rischio.
1 bis. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati da
trattamenti di dati (…) derivanti in particolare dalla distruzione, la perdita, la modifica, la rivelazione non
autorizzata o l'accesso, in modo accidentale o illegale, a dati personali trasmessi, memorizzati o
comunque elaborati
Articolo 33 - Valutazione d'impatto sulla protezione dei dati
1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la
natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le
libertà delle persone fisiche, ad esempio discriminazione, furto o usurpazione d'identità, perdite
finanziarie, pregiudizio alla reputazione, decifratura non autorizzata della pseudonimizzazione, perdita di
riservatezza dei dati protetti da segreto professionale o qualsiasi altro danno economico o sociale
importante, il responsabile del trattamento (…) effettua, prima di procedere al trattamento, una
valutazione dell'impatto delle operazioni di trattamento previste sulla protezione dei dati personali. (…).
(…).
#READY4EUDATAP
Estratto articoli del GDPR - 3
2. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei
seguenti casi:
a) una valutazione sistematica e globale (…) di aspetti della personalità (…) degli interessati (…), basata
sulla profilazione e da cui discendono decisioni che hanno effetti giuridici sugli interessati o incidono
gravemente sugli interessati;
b) il trattamento di categorie particolari di dati personali ai sensi dell'articolo 9, paragrafo 1 (…), dati
biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza, qualora i dati siano
trattati per prendere decisioni su larga scala riguardanti persone fisiche;
c) la sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante
dispositivi ottico-elettronici (…);
d) (…);
e) (…).
3. La valutazione contiene almeno una descrizione generale delle operazioni di trattamento previste, una
valutazione del rischio di cui al paragrafo 1, le misure previste per affrontare il rischio, includendo le
garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare
la conformità al presente regolamento, tenuto conto dei diritti e dei legittimi interessi degli interessati e
delle altre persone in questione.
Articolo 34 (…) - Consultazione preventiva
1. (…)
2. Il responsabile del trattamento (…), prima di procedere al trattamento dei dati personali, consulta
l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati di cui all'articolo 33 indichi
che il trattamento presenterebbe un (…) rischio elevato in assenza di misure che il responsabile del
trattamento dovrebbe adottare per attenuare il rischio.
#READY4EUDATAP
Facci una domanda sul Blog
Contattaci su Twitter
Facci una domanda sul Blog
Top Related