Le analisi dei rischi nel GDPR: regole e metodologie realizzative

Sono ancora numerosi i legali esperti di privacy e i consulenti esperti di sicurezza che confondono l’analisi dei rischi con la DPIA.

Per fugare qualunque dubbio basterebbe consultare il sito dell’Autorità Garante che tratta i due argomenti, la Valutazione d’impatto sulla protezione dei dati e l’Individuazione e gestione del rischio^[1], in due apposite pagine di approfondimento, per capire che analisi del rischio e DPIA non sono la stessa cosa.

Al riguardo sarebbe sufficiente una attenta lettura della normativa per individuare gli articoli nei quali si parla dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche (l’oggetto di tutela del GDPR) e della necessità di mettere in atto misure tecniche e organizzative adeguate.

Il testo della normativa non cita mai il termine analisi dei rischi, ma è evidente che la valutazione di quali siano le misure tecniche ed organizzative adeguate non può prescindere da una valutazione di quali siano i rischi, secondo un approccio basato sulla loro probabilità ed impatto, cioè secondo un’analisi dei rischi.

Come vedremo a breve, queste analisi dei rischi (il plurale non è un refuso) hanno due caratteristiche particolari:

• non riguardano solo gli aspetti di sicurezza;
• sono obbligatorie (a differenza della DPIA che va eseguita allorquando si verificano le condizioni previste dalla normativa).

Le analisi dei rischi nel GDPR: riferimenti normativi

Andiamo con ordine. Il primo articolo che richiede l’effettuazione di un’analisi dei rischi è il 24:

Articolo 24 – Responsabilità del titolare del trattamento (C74-C78)

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

L’obiettivo di questa analisi è valutare i rischi al fine di mettere in atto misure adeguate al rispetto dell’intera normativa.

In effetti, l’Autorità Garante spagnola ha predisposto, nella propria metodologia di analisi dei rischi, una specifica pubblicazione su tale argomento: la Listado de cumplimiento normativo che altro non è che una check list di alto livello e solo di impianto^[2], per la verifica del rispetto di tutti i requisiti normativi.

La valutazione dei rischi va coordinata in particolare con il considerando 75, che da alcune indicazioni in merito a quali siano i diritti e le libertà delle persone fisiche:

(75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo.

Il secondo articolo da prendere in considerazione è il 25 (Privacy by design e by default).

In questo caso, l’analisi dei rischi è tesa a valutare preventivamente le misure adeguate nel caso di innovazioni rispetto al proprio modello privacy.

Rispetto al precedente articolo, la cui attuazione è sempre obbligatoria, l’applicazione dell’art. 25 e la relativa analisi dei rischi, si attua ovviamente quando sussistono le condizioni previste dalla normativa (anche se in realtà sarebbe utile estenderne l’applicazione ad ogni variazione tecnica/organizzativa, nel personale, nella fornitura/acquisti di nuovi prodotti o servizi…, oltre che ovviamente nuovi trattamenti).

Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78):

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

Da ultimo l’articolo 32, dedicato alle misure di sicurezza, introduce la necessità di eseguire un’analisi dei rischi in questo ambito.

Al riguardo la valutazione di quali misure di sicurezza adottare è interamente in carico al Titolare, non essendo più obbligatoria l’adozione delle misure minime di sicurezza previste dall’Allegato B^[3] del D.lgs 196/03.

L’analisi dei rischi relativa agli aspetti di sicurezza è quindi particolarmente importante.

Articolo 32 – Sicurezza del trattamento (C83)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: …
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Tale articolo va coordinato anche con l’art. 5, che da alcune indicazioni sugli scenari di rischio da prendere in considerazione, scenari che rispecchiano quelli già citati dall’art. 32.2:

Articolo 5 – Principi applicabili al trattamento di dati personali

1. I dati personali sono:

…

f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Anche il rispetto di tale articolo è obbligatorio e va quindi sempre effettuata un’analisi dei rischi ai fini della sicurezza.

Tale analisi dei rischi, come evidenziato anche in articoli precedenti, non riguarda gli asset aziendali, ma i già più volte citati diritti e le libertà delle persone fisiche.

Le analisi dei rischi nel GDPR: metodologie realizzative

È quindi utile per la valutazione rifarsi a metodologie ufficiali sviluppate a tale scopo.

In prima istanza a quella di ENISA^[4], che da poco ha anche messo a disposizione on line anche un tool, a dire il vero un po’ troppo semplificato.

Altre metodologie sono quelle rese disponibili dalla già citata AEPD^[5] e, da utilizzare limitatamente alla parte relativa all’analisi dei rischi, dal CNIL^[6].

Non è invece possibile utilizzare metodologie che hanno come oggetto la valutazione del rischio per l’azienda e per gli asset aziendali, che ovviamente, non sono di pertinenza del GDPR.

Giova inoltre ricordare, perché anche questo è un passaggio difficile e poco compreso, che l’analisi dei rischi riguarda i diritti e le libertà delle persone fisiche e non degli interessati^[7].

Questo sposta notevolmente il perimetro da prendere in considerazione per l’analisi nonché la numerosità e la tipologia dei soggetti coinvolti. È da notare che questi potrebbero essere anche di un ordine di grandezza superiore a quello degli interessati e questo dovrebbe far riflettere anche sull’applicazione di gli altri adempimenti previsti dal GDPR.

E veniamo ora alla DPIA, che come il nome stesso dell’articolo indica non riguarda un’analisi dei rischi, ma una valutazione di impatto:

Articolo 35 – Valutazione d’impatto sulla protezione dei dati (C84, C89-C93, C95)

1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

Conclusioni

L’esecuzione di una DPIA, a differenza delle analisi dei rischi previste dagli artt. 24 e 32, non è sempre obbligatoria, ma deve essere effettuata nei casi espressamente previsti dalla normativa, compreso il caso in cui un tipo di trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche.

È evidente che la valutazione che un rischio sia elevato non può che derivare da una precedente analisi dei rischi, analisi effettuata ovviamente ai sensi dei sopra citati articoli e che quindi non necessariamente riguarda aspetti di sicurezza.

NOTE

1. anche se quest’ultimo limitatamente agli aspetti di sicurezza ↑
2. Per maggiori indicazioni sui limiti di tale approccio si vedano anche Audit e GDPR: competenze e linee guida per svolgere correttamente le verifiche in ambito privacy e “Audit e GDPR – Manuale per le attività di verifica e sorveglianza del titolare e del DPO”, Giancarlo Butti, Maria Roberta Perugini – Franco Angeli 2019. ↑
3. Pur non essendo più obbligatorie, l’assenza delle misure minime previste dall’Allegato B sarebbe difficile da giustificare in caso di una visita ispettiva. ↑
4. Handbook on Security of Personal Data Processing e Guidelines for SMEs on the security of personal data processing ↑
5. GUIA PRÁCTICA DE Análisis de riesgos en los tratamientos de datos personales sujetos al RGPD ↑
6. DPIA Guidelines e PIA Software ↑
7. Per maggiori dettagli si rimanda all’articolo: Sicurezza e GDPR, i soggetti tutelati: cosa valutare per effettuare un’analisi dei rischi compliant. ↑