Come fare la valutazione dei rischi sul trattamento dei dati

Analizzare un rischio per valutare come minimizzarlo è un’attività che può riguardare vari ambiti dell’attività di un Ente. Il Data Protection Officer deve considerare che, tra i suoi doveri, c’è proprio quello di analizzare quali rischi corrono i dati trattati dall’Ente Titolare del trattamento, per valutarne l’eventuale impatto sui diritti e sulle libertà fondamentali dei cittadini interessati e decidere quali adempimenti attuare: può infatti essere sufficiente approntare adeguate misure di sicurezza, qualche volta è necessario (oppure obbligatorio) effettuare una valutazione di impatto (DPIA – Data Protection Impact Assesment), altre volte infine il trattamento potrebbe rivelarsi così invasivo e pericoloso, tanto da indurre il DPO a fornire parere contrario e dunque consigliare il Titolare di interromperlo nel più breve tempo possibile, o, in alternativa, chiedere al Garante di pronunciarsi in merito.

L’analisi dei rischi in ambito GDPR dipende dai singoli Enti e dai tipi di trattamenti effettuati; tuttavia, può essere effettuata in maniera semplificata partendo proprio dal documento principe di tutta l’accountability del Titolare, ossia dal registro dei trattamenti, che, come abbiamo già visto, si può rivelare uno strumento utilissimo per governare il processo aziendale relativo alla protezione dei dati personali.

Una volta analizzati tutti i trattamenti effettuati e stabilito il rischio connesso con ciascuno di essi, si potrà elaborare un documento che conterrà le misure di sicurezza, ossia le misure necessarie, adottate dall’Ente oppure in corso di implementazione, per minimizzare i vari rischi: azzerare il rischio, come abbiamo già avuto modo di vedere, è sostanzialmente impossibile.

Per ciascun trattamento dell’Ente va individuato il rischio sulla base dell’impatto sui diritti e le libertà fondamentali degli interessati (ovvero: se si verificasse questa eventualità, quale sarebbe il danno che ne deriverebbe alle persone?) e il valore del rischio andrà calcolato solo dopo aver messo in atto la misura di sicurezza adeguata per ridurlo.

Per esempio, se sto calcolando il rischio “perdita di riservatezza dei dati”, dovrò misurare l’impatto solo dopo che avrò verificato quali misure l’Ente ha attuato per ridurlo. Se l’Ente avrà software di protezione, personale altamente formato, locali chiusi a chiave, armadi anch’essi sotto chiave, policy e procedure, allora l’impatto potenziale risulterà basso, perché le misure di sicurezza sono elevate. Viceversa, se ad esempio il sistema operativo dell’Ente risultasse obsoleto e fuori supporto, e gli aggiornamenti non installati, allora il rischio diventerebbe alto, poiché l’impatto, a seguito di scarsa sicurezza, crescerebbe. La logica da utilizzare è sempre stessa: approccio basato sul rischio. Tanto più elevato è il rischio, tanto più alta sarà la soglia di attenzione e le misure di sicurezza attuate, come quando si guida un’automobile e si adegua il proprio stile di guida alle condizioni di traffico, visibilità, metereologiche ed al manto stradale (oltre che alla potenza dell’auto stessa).

La valutazione del rischio in pratica

Compreso il principio sotteso, vediamo nella pratica come effettuare una valutazione dei rischi dell’Ente. I passi da seguire sono i seguenti:

• Identificazione dei dati e dei trattamenti effettuati, con il supporto del registro dei trattamenti.
• Identificazione degli applicativi e dei supporti tecnologici su cui i dati vengono trattati.
• Identificazione dell’impatto, da dividersi in alto, medio e basso, derivante da una perdita o da una riduzione della riservatezza, dell’integrità e della disponibilità dei dati.
• Stima della probabilità futura del realizzarsi delle minacce (analisi da effettuarsi di concerto con il responsabile IT).
• Calcolo del rischio per ogni trattamento, secondo una logica semaforica (verde – giallo – rosso) dato dal prodotto tra la probabilità e l’impatto, tenendo conto delle misure di siurezza attuate (o in corso di attuazione).

Le categorie di rischi da valutare

Come già accennato, ogni Ente avrà le proprie categorie particolari di dati e trattamenti da censire. Tuttavia, per semplificare il lavoro dei DPO e fornire elementi concreti di “consulenza pratica” si elencano qui di seguito i rischi principali da valutare, suddivisi in tre macrocategorie: rischi inerenti il personale; rischi inerenti gli strumenti di lavoro; rischi inerenti il contesto lavorativo.

1. RISCHI INERENTI IL PERSONALE

• Sottrazione di credenziali di autenticazione (impatto: accesso ai dati da parte di personale non autorizzato, con rischio di perdita di riservatezza, integrità, disponibilità).
• Carenza di consapevolezza, disattenzione, incuria (impatto: possibile distruzione, modifica o diffusione accidentale dei dati).
• Comportamenti sleali o fraudolenti (impatto: possibile distruzione, modifica o sottrazione illecita dei dati).
• Errore materiale (impatto: possibile distruzione, modifica o diffusione dei dati).

2. RISCHI INERENTI GLI STRUMENTI

• Azione di programmi malevoli o non autorizzati (impatto: possibile distruzione o sottrazione illecita di dati, possibile danneggiamento banche dati).
• Spamming (impatto: possibili interventi non regolari sulle banche dati in seguito all’applicazione di quanto riportato nei messaggi di posta elettronica ad es. phishing).
• Malfunzionamento o degrado degli strumenti (impatto: perdita di dati).
• Accessi esterni non autorizzati (impatto: possibile sottrazione, in modo illecito, di dati e danneggiamento delle banche dati).
• Intercettazione di informazioni in rete (impatto: sottrazione di dati da parte dei malintenzionati, con possibilità di distruzione o manipolazione dei dati).

3. RISCHI DI CONTESTO

• Ingressi non autorizzati a locali/aree ad accesso ristretto (impatto: possibile sottrazione, in modo illecito, di dati e danneggiamento delle banche dati).
• Sottrazione di strumenti contenenti dati (impatto: sottrazione e diffusione non autorizzata, di dati).
• Eventi distruttivi, naturali o artificiali nonché dolosi, accidentali o dovuti ad incuria (impatto: distruzione fisica dei dati).
• Errori umani nella gestione della sicurezza fisica (impatto: distruzione fisica dei dati).
• Guasti ai sistemi complementari (impatto: distruzione totale o parziale dei dati).

Naturalmente si tratta solo di una elencazione esemplificativa e non esaustiva, ma che, oltre a fungere da esempio, costituisce una solida base di partenza per l’analisi dei rischi di ciascun Ente.

A fronte di ognuno dei rischi sopra elencati, in fase di analisi l’Ente, o meglio il suo Data Protection Officer, dovrà valutare le misure di sicurezza: in particolare sarà necessario evidenziare quali misure di sicurezza sono poste a presidio di ciascun rischio, quali sono già esistenti, e quali invece in programma. Nel caso in cui le misure non siano già esistenti, ma solo programmate, è necessario indicare una data almeno approssimativa per la loro attuazione. Ad esempio, se si stima che il rischio “carenza di consapevolezza, disattenzione, incuria” sia un rischio elevato, perché il personale dell’Ente non è mai stato sottoposto a formazione specifica, né in ambito GDPR e nemmeno in ambito cybersecurity, si deve valutare, quale misura di sicurezza, l’effettuazione di un corso specifico su queste materie, erogato da personale specializzato e di un numero di ore minimo che sia congruo per arrivare a un risultato soddisfacente.

Si programma il corso (cioè la misura di sicurezza) e si indica il lasso di tempo in cui verrà effettuato. L’impatto che determina il livello di rischio (basso – medio – alto, oppure, visto con logica semaforica verde – giallo – rosso) cambierà nel tempo: nel giorno zero in cui si effettua la valutazione del rischio esso sarà medio o alto, dopo l’attuazione della misura di sicurezza si dovrà provvedere ad aggiornare il documento di valutazione del rischio, considerando quel rischio specifico come presidiato e dunque minimizzato.

Come tutta la documentazione di accountability, infatti, la valutazione dei rischi non è qualcosa di granitico e scolpito nella pietra che una volta effettuato è lecito poter dimenticare, ma un documento in divenire, mutevole, che cambia con la stessa fluidità e velocità con cui cambia la vita lavorativa all’interno dell’Ente.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.