Analisi del rischio per il GDPR: come semplificarla
12 Febbraio 2020 in Governance Risk & Compliance As a Service - GRC360
L’analisi del rischio in ottica GDPR si traduce sostanzialmente nella valutazione dell’impatto e della probabilità del verificarsi di possibili minacce per i diversi trattamenti dei dati personali da parte dell’azienda.
L’attenzione va focalizzata soprattutto sulle categorie particolari di dati, unitamente ai dati relativi alle condanne penali e reati(art. 9 e 10) e il modo in cui si usano, come, per esempio i trattamenti su larga scala e di profilazione e le relative misure di sicurezza, in caso di utilizzo nel trattamento di nuove tecnologie (Big Data, IoT, IA ecc.).
Un’analisi del rischio preliminare
L’analisi del rischio nel trattamento dei dati personali può essere semplificata, esaminando, in modo preliminare, tutti i trattamenti per verificare se e per quali di essi sia necessario effettuare il Data Protection Impact Assessment (DPIA), previsto dall’articolo 35 del GDPR, obbligatorio quando il trattamento di dati personali “presenti un rischio elevato per i diritti e le libertà delle persone fisiche”.
Per agevolare l’analisi del rischio vale la pena far leva sul registro dei trattamenti, che è obbligatorio nei casi previsti dalla legge (art. 30 del regolamento), ma in ogni caso, è uno strumento utilissimo per governare il processo aziendale relativo alla protezione dei dati personali. La tenuta del registro dei trattamenti è infatti indice di una corretta gestione dei trattamenti e costituisce un importante elemento di accountability.
Come procedere per l’analisi del rischio
È dunque consigliabile innanzi tutto effettuare una valutazione generale dei rischi per tutti i trattamenti, se il rischio per i diritti e le libertà degli interessati, risulterà elevato va effettuato il DPIA. Qualora il rischio rimanesse alto nonostante le ulteriori misure di sicurezza andrà consultata l’Autorità di controllo (articolo 36 del Regolamento).
Questa valutazione preliminare di analisi del rischio dovrebbe portare alla stesura di un documento sui risultati dell’analisi, utile anche per definire successivamente le misure per ridurli, ove necessario e differenziare i diversi trattamenti in base al rischio.
Per ogni trattamento va individuato il rischio sulla base dell’impatto sugli interessati, nel caso si dovesse realizzare la minaccia, e della probabilità del verificarsi della minaccia stessa. Il valore del rischio andrà ricalcolato dopo avere messo in atto le misure di sicurezza utili a ridurlo.
I passi per l’analisi del rischio
L’analisi del rischio può essere affidata dal titolare del trattamento, nella sua esecuzione materiale, a esperti interni o esterni con competenze di tipo legale e di sicurezza informatica, eventualmente coinvolgendo il DPO (data protection officer).
In ogni caso il processo di analisi del rischio dovrà seguire i seguenti step:
- Andranno identificati, con riferimento ai processi aziendali e al registro dei trattamenti, i dati personali trattati;
- Andranno identificati gli ambiti applicativi e tecnologici a supporto dei servizi e dei processi;
- Andranno valutati, per ogni ambito applicativo, gli impatti (alto, medio o basso) derivanti da una perdita o da una riduzione della riservatezza, dell’integrità e della disponibilità dei dati;
- Andrà stimata la probabilità futura del realizzarsi delle singole minacce (alta, media o bassa) in accordo con i referenti IT, anche sulla base delle minacce a cui le applicazioni ed il sistema informativo sono esposti;
- Va infine calcolato il rischio, per ogni trattamento, come prodotto tra i risultati di impatto e probabilità di accadimento; il rischio effettivo dovrà essere calcolato tenendo conto delle misure di sicurezza nel frattempo messe in atto per ridurlo.
L’analisi dei rischio non riguarda solo il GDPR
Dal momento che gran parte di queste attività preliminari sono comuni anche alla valutazione del rischio aziendale (per danni reputazionali, legali oltre il GDPR, di perdita operativa, economici…) può essere consigliabile valutare una convergenza nell’elaborazione dell’analisi del rischio. In particolare, l’analisi della componente probabilistica può essere unica e basarsi su un’analisi dell’efficacia dei presidi di sicurezza IT in relazione alla protezione degli asset critici.
La valutazione del rischio nel GDPR
La necessità, per il titolare, di svolgere una valutazione del rischio trova spazio, nel GDPR, già all’interno dell’art. 24, rubricato “Responsabilità del titolare del trattamento”, il quale recita che “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.”
La valutazione dei rischi connessi al trattamento dei dati personali è, quindi, un principio cardine del GDPR, in quanto non è limitata a quei trattamenti che hanno per oggetto dati di natura particolare o fanno uso di tecnologie innovative, ma coinvolge l’intero sistema di gestione dei dati personali da parte dell’impresa, sebbene con livelli di complessità e dettaglio differenziati in base al rischio.
La valutazione del rischio dei dati “particolari”
Qualora, dalla valutazione del rischio del trattamento di dati personali, emerga un elevato livello di rischio per i diritti e le libertà degli interessati, il GDPR impone al titolare di porre in essere il citato DPIA.
Al fine di semplificarne l’esecuzione, l’art. 35 GDPR consente di esaminare anche “un insieme di trattamenti simili che presentano rischi elevati analoghi”, ossia trattamenti fra loro accomunati, in termini di natura, ambito di applicazione, contesto, finalità e rischi, ove, ai sensi di quanto contenuto nel considerando 92, vi siano circostanze che permettono di ritenere “ragionevole ed economico” effettuare un DPIA su un oggetto più ampio.
Si pensi, ad esempio, al caso in cui più titolari facciano uso di una piattaforma di trattamento comune o si progetti di introdurre “un’applicazione o un ambiente di trattamento comuni in un settore o segmento industriale o per una attività trasversale ampiamente utilizzata“.
L’analisi del rischio come principio privacy
Premesso che l’analisi del rischio è un principio cardine della normativa privacy, come può, in concreto, il titolare valutare la gravità di tale rischio in relazione ai diritti dell’interessato?
Il gruppo di lavoro articolo 29, nel documento rubricato “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679” interpreta il riferimento a “diritti e libertà” fatto dall’art. 35 come riguardante non solo i diritti alla protezione dei dati e alla vita privata, ma anche diritti fondamentali di rango costituzionale, quali “la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione”.
Tutti i diritti fondamentali della persona fisica, quindi, dovranno essere individuati e stimati nell’analisi del rischio, non essendo possibile sottrarsi a tale obbligo semplicemente tramite la stipula di polizze assicurative.
La valutazione del rischio e il ruolo del Garante privacy
Se, svolta la valutazione del rischio e analizzate le misure di sicurezza applicabili al trattamento, residua un rischio particolarmente elevato, il titolare può consultare il Garante privacy, prima di procedere al trattamento, ai sensi dell’art. 36 GDPR.
All’interno della richiesta di consultazione, il titolare deve comunicare:
- Come sono ripartite le responsabilità fra le figure esterne del trattamento, ove presenti (responsabili del trattamento, contitolari);
- Le finalità e i mezzi del trattamento;
- Le misure e le garanzie previste a tutela dei diritti e delle libertà degli interessati;
- I dati di contatto del titolare della protezione dei dati, ove presente;
- La valutazione di impatto svolta sul trattamento, ai sensi dell’art. 35 GDPR;
- Ogni altra informazione eventualmente richiesta dall’autorità.
Alla richiesta avanzata dal titolare, il Garante risponderà tramite l’elaborazione di un parere scritto, entro il termine di 8 settimane dal ricevimento della richiesta stessa (termine, questo, prorogabile di ulteriori 6 settimane, ove il trattamento sia particolarmente complesso).
Alessio Pennasilico – Information & Cyber Security Advisor, Partners4Innovation