Gestione del rischio nel contesto della privacy

Gestione del rischio nel contesto della privacy

Il nuovo regolamento generale ha un approccio basato sulla valutazione del rischio (risk based), piuttosto che sulla protezione dell'utente.

Il titolare del trattamento che processa dei dati deve conformarsi alle norme in materia. Per primo deve individuare le finalità del suo trattamento di dati personali, poi raccogliere i dati necessari con riferimento a tali finalità, infine, al termine del periodo stabilito per il trattamento dei dati, cancellare i dati trattati. Deve altresì assicurarsi che gli interessati siano informati sui trattamenti da lui operati, e che possano esercitare i diritti previsti dalle norme. Per ultimo deve assicurare la sicurezza dei dati trattati, prendendo tutte le precauzioni necessarie con riferimento alla natura dei dati e al rischio dei trattamenti. Per fare ciò dovrà identificare i rischi correlati ai trattamenti prima di determinare gli strumenti per ridurre il rischio relativo al trattamento dei dati. Per finire dovrà osservare specifici requisiti che si applicano al trattamento dei dati, specialmente quando si tratta di dati a trattamento speciale (ex art. 9), quando i dati sono trasferiti al di fuori dell'Unione europea e così via. 

 

Rischio tipico di impresa

Il Considerando 75 del GDPR ci aiuta con riferimento al concetto di rischio: "I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati". 
Il rischio inerente al trattamento è da intendersi come l'impatto negativo sulle libertà e i diritti degli interessati (da intendersi non solo il diritto alla protezione dei dati personali, ma anche altri, come la libertà di espressione). 

La valutazione del rischio del trattamento determina la misura di responsabilità del titolare (o del responsabile) del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamentoPer ogni rischio occorre individuare la probabilità dell'evento, nonché la gravità dello stesso per i diritti e le libertà degli utenti. Quindi occorre documentare la tipologia dei dati trattati, la loro "appetibilità", la pericolosità per i diritti degli interessati, i comportamenti degli operatori, gli eventi relativi al contesto e agli strumenti utilizzati per il trattamento, le possibili conseguenze.  Si tratta di uno dei criteri previsti dal regolamento generale per la progettazione dei trattamenti che, appunto, prevede l'obbligo di una analisi del rischio del trattamento, e quindi della valutazione delle misure tecniche od organizzative che il titolare ritiene di dover adottare per ridurre l'eventuale rischio se questo risulta alto. 

Gli obblighi previsti dal regolamento europeo si comprimono od espandono a seconda del rischio correlato al trattamento dei dati e alla struttura organizzativa. In tal modo si passa dal precedente modello organizzativo rigido (misure minime di sicurezza e precetti vincolanti) ad un nuovo modello flessibile e adattabile. Il rischio, quindi, è relativo allo stato dell'arte e alla sostenibilità economica, quindi i costi di attuazione. In sostanza si prevede l'obbligo di allocare il rischio tipico di impresa, senza considerare il rischio atipico in quanto irragionavole e sproporzionato rispetto ai doveri generali di prevenzione e precauzione della responsabilità civile. La responsabilità oggettiva nel trattare dati personali è limitata al rischio tipico. Da cui l'esigenza di una responsabilizzazione del titolare, quale soggetto in grado di valutare meglio di tutti il rischio correlato alla proprio attività economica. 
 

Il rischio è valutato in base a due elementi: l'evento temuto e le minacce che possono portare a quell'evento. 

  

Minacce e rischi

Mentre la minaccia indica la fonte di pericolo, il rischio è la verosimiglianza che la minaccia si verifichi. Il rischio è la potenziale perdita, danno o distruzione di un'attività a seguito di una minaccia che sfrutta una certa vulnerabilità. Il livello della minaccia è calcolato sul trattamento. 

Le fonti di pericolo o rischio sono quelle che causano gli eventi temuti. Possono essere: 
- soggetti interni all'azienda (dipendenti, collaboratori); 
- soggetti esterni all'azienda; 
- terze parti autorizzate (es. enti governativi); 
- fonti non umane (computer virus, disastri naturali, epidemie, animali). 

Le fonti di rischio possono agire, accidentalmente o deliberatamente, sui componenti del sistema
- hardware: computer, sistemi di comunicazione, hard disk, drive usb;
- software: sistemi operativi, sistemi di messagistica, database, applicativi;
- sistemi di rete via cavo o wireless;
- persone;
- stampanti, fotocopiatrici;
- sistemi di trasmissione di dati (mail).

L'azione delle fonti di rischio si può esplicare in vari modi: 
- le risorse sono deviate dal contesto d'uso previsto (function creep); 
- le risorse sono osservate senza subire danni (spionaggio); 
- le risorse sono sovraccaricate o utilizzate in condizioni limite che ne compromettono il funzionamento; 
- le risorse sono parzialmente o totalmente danneggiate; 
- le risorse sono modificate; 
- le risorse sono rubate o sottratte al titolare. 

  

Eventi temuti

Gli elementi da considerare sono: 
- trattamenti: quelli relativi all'attività di impresa e quelli stabiliti dalla legge per conformarsi ad essa (es. per informare gli interessati, ottenere il loro consenso e consentire l'esercizio dei loro diritti); 
- dati personali: quelli trattati nel corso dell'attività di impresa e quelli trattati per previsione di legge. 

Gli eventi da evitare sono: 
- indisponibilità dei dati (e dei processi collegati); 
- modifica dei trattamenti (cambio di finalità, raccolta eccessiva di dati, ecc...); 
- accesso illegittimo ai dati personali da parte di persone non autorizzate; 
- divulgazione non autorizzata dei dati; 
- alterazione, modifica o cancellazione non voluta dei dati. 

 

Gestione del rischio

Il rischio è lo scenario che descrive come un evento (le fonti di rischio) possono sfruttare le vulnerabilità delle risorse del sistema per causare un incidente con impatto sulla privacy (le conseguenze dell'evento). La gestione del rischio è l'insieme delle attività volte a indirizzare un'organizzazione in relazione ai rischi. Il livello di rischio viene stimato in termini di: 
- gravità, cioè l'entità del rischio, che dipende essenzialmente del livello di identificazione dei dati personali e dal livello di conseguenza del potenziale impatto (il livello di impatto è calcolato sugli interessati): 
- probabilità, cioè la probabilità del verificarsi del rischio, e dipende essenzialmente dal livello di vulnerabilità delle risorse. 
Il livello di gravità può aumentare in relazione a ulteriori fattori: ampio numero di interessati, ampio numero di interconnessioni o destinatari, e così via. 

Il titolare del trattamento deve adottare tutte le precauzioni utili, in relazione alla natura dei dati e ai rischi del trattamento, per preservare la sicurezza dei dati, e in particolare prevenirne l'accesso non autorizzato, l'alterazione o la perdita (artt. 5 e 32 GDPR). Per valutare i rischi del trattamento occorre prima di tutto identificare gli eventi temuti e valutarli in termini di gravità e probabilità. A seguito di tale stima potranno essere identificate le misure tese a eliminare o ridurre i rischi correlati. Non tutti i rischi possono essere eliminati del tutto, in alcuni casi sarà possibile solo ridurli, e la valutazione sulle misure proporzionate da implementare (oppure eventualmente la scelta di non procedere col trattamento) fa parte della "responsabilizzazione" del titolare del trattamento. 

I rischi con un'elevata gravità e probabilità devono essere assolutamente evitati o ridotti implementando le opportune misure di sicurezza, in particolare misure di prevenzione (azioni intraprese prima di un evento dannoso), protezione (azioni intraprese durante un evento dannoso) e recupero (azioni intraprese dopo un evento dannoso). 
I rischi con una gravità elevata ma una probabilità bassa devono essere evitati o ridotti implementando le misure di sicurezza, in particolare con misure preventive.
I rischi con una gravità bassa ma un'alta probabilità devono essere ridotti implementando misure di sicurezza, in particolare misure di recupero. 
I rischi di bassa gravità e probabilità si possono assumere. 

Una volta implementate le misure di eliminazione o riduzione del rischio, la valutazione del rischio va rifatta sulla base della situazione come modificata, e quindi documentata.