GDPR, analisi dei rischi dal punto di vista del titolare del trattamento: come effettuarla - Cyber Security 360

LA GUIDA COMPLETA

GDPR, analisi dei rischi dal punto di vista del titolare del trattamento: come effettuarla

Il titolare del trattamento potrebbe valutare quali sono i rischi connessi al trattamento dei dati personali che possono avere impatto sulla propria azienda. Una valutazione non prevista dal GDPR, ma che può dare importanti indicazioni su quella che è l’esposizione, in termini economici, legata ai trattamenti dati

03 Set 2021
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Abbiamo parlato più volte del fatto che le analisi dei rischi richieste dal GDPR riguardano i diritti e le libertà delle persone fisiche. Si tratta, quindi, di analisi dei rischi diverse da quelle alle quali le aziende sono abituate, che mirano a tutelare l’azienda stessa, i suoi asset e i suoi processi[1].

Il trattamento dei dati personali e il mancato rispetto della normativa privacy comportano comunque anche dei rischi per il titolare del trattamento e quindi, parallelamente ad un’analisi dei rischi ai sensi del GDPR, è possibile effettuare, da parte di quest’ultimo, una analisi dei rischi avente come oggetto i rischi propri del titolare.

Infatti, nel caso di alterazione, indisponibilità e violazione dei dati personali anche il titolare del trattamento e i servizi da lui erogati potrebbero risentirne.

Gli impatti sono di varia natura, fra i quali:

  1. economici (costi di ripristino, mancato guadagno ecc.);
  2. legali (contenziosi con clienti per mancata erogazione dei servizi ecc.);
  3. reputazionali;
  4. sanzionatori (sia dal punto di vista della normativa privacy, ma anche di altre normative, ad esempio quelle in ambito bancario);
  5. risarcitori (nei confronti delle PERSONE FISICHE, o meglio di CHIUNQUE, abbia subito un danno in seguito alla violazione della normativa privacy).

Ci concentriamo in questo articolo sugli ultimi due tipi di rischio, quelli specifici legati alla normativa privacy, in quanto per gli altri esistono in letteratura numerosi esempi relativi alle modalità per la loro valorizzazione.

I rischi nell’analisi dei rischi: gli errori da evitare per rendere fruibile e ripetibile l’analisi effettuata

Analisi dei rischi del titolare: sanzionatori e risarcitori

La valutazione del rischio risarcitorio (e sanzionatorio), unitamente al valore dei generici rischi in precedenza elencati, dovrebbe dare evidenza delle perdite complessive verso le quali si espone il titolare del trattamento e conseguentemente di quanto budget potrebbe avere a disposizione per ridurre tale rischio mediante l’implementazione di adeguate misure di sicurezza (nel senso più ampio del termine).

Il rischio risarcitorio

Partiamo dal rischio legato al dover risarcire chiunque (“any person” nella versione originale del GDPR) abbia subito un danno, come prescritto dell’art. 82 del Regolamento UE:

Articolo 82

Diritto al risarcimento e responsabilità (C142, C146, C147)

1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Appare abbastanza ovvio che con il termine “chiunque” non si intendano i soli interessati, ma quantomeno tutte le persone fisiche che hanno subito un danno.

D’altra parte, il GDPR tutela proprio le persone fisiche (art. 1 del GDPR) e tutti gli articoli che parlano di analisi dei rischi o di violazione di dati personali si riferiscono a tali soggetti e non agli interessati.

Qualche dubbio potrebbe riguardare il fatto che il perimetro dei soggetti coinvolti sia più ampio, in conseguenza del fatto che il termine utilizzato nella normativa è “any person”, e non “any natural person”, termine quest’ultimo utilizzato nel GDPR per indicare i soggetti tutelati (si ricorda che il termine per indicare gli interessati è invece data subject).

Le analisi dei rischi nel GDPR: regole e metodologie realizzative

Quindi non è arduo ipotizzare che anche le persone non fisiche (ad esempio un’azienda) possano in qualche circostanza richiedere un risarcimento dei danni.

Proprio la presenza di una platea così ampia e, soprattutto indefinita, rende molto difficile effettuare una valutazione di quello che potrebbe essere il rischio risarcitorio.

Un possibile percorso potrebbe considerare fasce diverse di rischio in funzione del fatto che si trattino dati comuni o dati particolari, dati solo di adulti o anche dati di minori.

Si potrebbe ipotizzare una cifra media di risarcimento per ogni interessato in funzione della rischiosità dei singoli trattamenti (ad esempio ,1000 euro nel caso di trattamento di dati comuni e 100 mila euro nel caso di trattamento di dati sanitari).

Moltiplicando questo valore per il numero degli interessati si potrebbe individuare quale sia il rischio massimo a cui il Titolare esposto quantomeno relativamente a tali soggetti.

Ma se questa metodologia è applicabile agli interessati, dei quali conosco o dovrei conoscere il numero, la stessa logica non è applicabile alle persone fisiche, collegate in qualche modo agli interessati, perché non ne conosco e non ne posso conoscere a priori il numero.

Spesso tali soggetti possono essere individuati con i famigliari di un interessato; questo è il caso di un paziente affetto da una particolare malattia tale per cui la diffusione della informazione sulla sua diagnosi porterebbe a discriminazione nei confronti suoi e dei suoi famigliari.

O analogamente sono stati anche i famigliari degli interessati ad aver subito un danno nel più volte citato caso della violazione e successiva diffusione degli iscritti ad un sito di incontri fra persone sposate.

La diffusione dei dati degli iscritti ha avuto impatti come minimo sul coniuge e sui figli (con suicidi e divorzi…), anche se in realtà avrebbe potuto estendere il proprio impatto a molte altre situazioni, ad esempio se il soggetto che si fosse suicidato avesse avuto incarichi di rilievo in un’azienda o peggio fosse il detentore di un know how esclusivo.

Al riguardo non si pensi che tali ipotesi siano così remote perché in letteratura casi anche recenti sono facilmente reperibili.

È evidente che il numero complessivo di famigliari o di eventuali altri soggetti coinvolti non può essere noto al Titolare, che dovrebbe pertanto aggiungere ipotesi ad ipotesi.

Se ci basiamo sul concetto di stima potremmo ipotizzare che per ogni interessato ci possano essere altri due soggetti che hanno titolo di richiedere un risarcimento danni.

Quindi se avevamo ipotizzato 10 milioni di euro come valore di impatto per gli interessati moltiplichiamo per 3 tale valore per comprendere anche altri soggetti.

Ovviamente quanto fino a qui esposto si riferisce all’impatto, inteso come valore dell’importo risarcibile.

È evidente che nella valutazione del rischio è necessario considerare anche la probabilità che un determinato evento possa causare una richiesta di risarcimento.

Si può ragionevolmente ritenere (ma tale ipotesi non è da considerarsi assoluta), che la maggior parte dei risarcimenti possano derivare da una violazione di dati personali, motivo per cui è importante che un Titolare concentri le proprie risorse per rendere il meno probabile possibile una tale eventualità.

Non va però considerata solo questa casistica, perché potrebbero verificarsi situazioni nelle quali la richiesta di risarcimento sia legata ad altri fattori.

Si pensi ad esempio al fatto che un interessato scopra che i suoi dati siano trattati in modalità difforme rispetto a quanto espresso in una informativa, in particolar modo se per lo svolgimento di tale trattamento era stato richiesto il suo consenso.

È evidente che l’interessato potrebbe sentirsi oltraggiato da questo comportamento, ritendo altresì di aver subito un danno, quantomeno immateriale.

La casistica che può attivare l’art. 82 è quindi molto ampia.

Vi è inoltre da considerare un ulteriore aspetto nella valutazione di quanto sopra. Un eventuale resistenza del Titolare rispetto alla richiesta di risarcimento poterà quasi sicuramente i soggetti che lo richiedono a rivolgersi all’autorità Garante, che verrà pertanto informata della presunta violazione della normativa da parte del Titolare (con tutte le conseguenze del caso per quanto riguarda una possibile visita ispettive ed a seguire le relative sanzioni, come verrà trattato nel paragrafo successivo).

Sicurezza e GDPR, i soggetti tutelati: cosa valutare per effettuare un’analisi dei rischi compliant

Quali probabilità di incorrere in un risarcimento danni

Abbiamo per ora parlato di impatto, ma qual è la probabilità di incorrere in un risarcimento danni?

Purtroppo la stima è veramente difficile. Si potrebbe pensare che sia proporzionale al livello di conformità del Titolare, ma non è così.

La pura conformità influisce si aspetti quali ad esempio la reale corrispondenza fra quanto esposto nella informativa e quanto agito.

Tuttavia per quanto riguarda gli aspetti di sicurezza non è sufficiente essere semplicemente conformi; la normativa non richiede infatti la sicurezza assoluta e quindi resta sempre il rischio, ad esempio, che si verifichi una violazione di dati personali.

Le possibili casistiche sono infatti infinite; è pertanto utile analizzare documenti come quello prodotto dall’EPDB (Guidelines 01/2021 – on Examples regarding Data Breach Notification ), ma le casistiche sono veramente infinite e non prevedibili.

Il rischio sanzionatorio

La valutazione del rischio sanzionatorio è ancor più complessa di quanto evidenziato per il rischio risarcitorio.

Prima di procedere ad analizzare le componenti di probabilità ed impatto utili alla valutazione di tale rischio è opportuno riepilogare quelle che sono le tipologie di sanzioni previste dalla normativa privacy.

Le più evidenti riguardano:

  • le sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore
  • le sanzioni penali (regolate il Italia dal D.lgs. 196/03)[2].

Alle sanzioni propriamente dette vanno inoltre aggiunte le azioni che l’Autorità Garante ha il potere di imporre ai sensi dell’art. 58 del GDPR, quali ad esempio:

  • una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale

Spesso trascurate nella valutazione del rischio tali azioni possono in realtà avere conseguenze ben più significative anche di una sanzione pecuniaria elevata, potendo comportare la chiusura di un’attività (si pensi ad esempio al blocco del database dei contatti di un call center).

Il possibile impatto di un rischio sanzionatorio

Passiamo ora a valutare le componenti del rischio.

Per quanto riguarda l’impatto e quindi in particolare l’importo della sanzione, questo è legato:

  • al livello di non conformità del titolare;
  • alla molteplicità di elementi che devono essere considerati nella determinazione di una sanzione.

Per quanto attiene al primo aspetto, questo è determinabile solo con una verifica sufficientemente accurata della conformità dello stesso alla normativa.

Tale verifica non può limitarsi né un semplice controllo formale, né a considerare corretto, di default, il perimetro dei trattamenti e degli interessati individuati dal Titolare[3].

Per quanto attiene al secondo punto, per la determinazione della sanzione l’Autorità deve considerare quanto previsto dall’art. 83.2:

2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene

debito conto dei seguenti elementi:

a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b) il carattere doloso o colposo della violazione;

c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;

e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;

f ) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

g) le categorie di dati personali interessate dalla violazione;

h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;

j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

In considerazione del rilevante numero di parametri che possono essere considerati dall’Autorità è veramente molto arduo confrontare le sanzioni relative alla medesima violazione effettuata da diversi Titolari e quindi stabilire un valore medio da utilizzare in una stima del rischio.

A parità di condizioni ad esempio, il diverso livello di cooperazione messo in atto dal Titolare (art. 83.2.f) può influire sull’esito della sanzione.

Ma c’è un ulteriore elemento che rende difficile effettuare un confronto fra le sanzioni erogate per la violazione del medesimo articolo e riguarda l’assoluta genericità con cui sono espressi i criteri che determinano una violazione, come indicato nell’art. 82:

La sanzione fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.

Come si nota, la normativa non entra nel merito del reale contenuto di una violazione, ma si limita a citare genericamente il numero dell’articolo/i violato/i.

Diverso era l’approccio del D.lgs 196/03, che quantomeno dava qualche indicazione di maggior dettaglio, lasciando meno margine di discrezionalità e meglio inquadrando le circostanze che portavano ad una sanzione, come evidenziano gli esempi sotto riportati:

Art. 163. Omessa o incompleta notificazione

1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.

oppure

Art. 167. Trattamento illecito di dati

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

È infatti chiaro, ad esempio, che una violazione di un articolo complesso ed impegnativo quale l’art. 5, nel quale sono elencati numerosi principi il cui rispetto comporta l’attivazione di un rilevantissimo numero di misure tecniche ed organizzative da parte del Titolare, possa avvenire con decine di modalità diverse:

Articolo 5

Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Ad esempio, la mancata definizione dei tempi di conservazione o il mancato aggiornamento dei dati.

Paragonare quindi le sanzioni che vengono irrorate limitandosi a considerare il numero dell’articolo a cui si riferiscono è molto fuorviante e l’uso di tali informazioni, per determinare un valore medio associato ad una violazione della normativa, è quindi decisamente errato.

Tale errore è inoltre ampliato nel caso in cui si utilizzino dati raccolti a livello internazionale; il comportamento delle varie Autorità Garanti non è uniforme così come non è uniforme nemmeno la normativa di riferimento.

Non va infatti dimenticato che i singoli Stati dell’Unione oltre al GDPR dispongono di proprie normative privacy che comportano specifiche sanzioni di natura amministrativa e penale.

Per capire l’orientamento e la filosofia delle singole Autorità non resta quindi che analizzare nel dettaglio i singoli provvedimenti; le scorciatoie sono molto rischiose.

Resta comunque il problema che le sanzioni evidenziate nei provvedimenti sono spesso accorpate riguardano più violazioni contemporaneamente, aumentando ulteriormente la possibilità di abbinare un importo ad una specifica violazione.

Altro aspetto da prendere in considerazione è il fatturato del Titolare; la sanzione massima applicabile non è infatti fissa, ma varia se il 4% del fatturato annuo mondiale superi i 20 milioni di euro. Non si deve pensare che tale situazione sia limitata a poche multinazionali. Nel mondo bancario l’equivalente del fatturato fa sì che molte banche italiane si trovino nella condizione di subire sanzioni di diverse decine o centinaia di milioni di euro.

Anche questa circostanza (influenzata ad esempio dal parametro k dell’art. 83.2) rende particolarmente difficile paragonare sanzioni che sono state irrorate a soggetti completamente diversi fra loro in quanto a dimensioni e settori di appartenenza (e quindi, ad esempio, esposte a una rischiosità dei trattamenti effettuati non uniforme).

La probabilità di subire una sanzione

Consideriamo ora la probabilità di subire una sanzione; questa è legata essenzialmente a due fattori:

  • il livello di conformità del titolare;
  • la possibilità di essere sottoposti ad una visita ispettiva.

Per quanto riguarda il primo punto vale quanto già esposto in precedenza.

Solo un assessment approfondito può dare una stima di massima del livello di conformità raggiunto (una reale valutazione della conformità è di fatto impossibile; nessuno può di fatto certificare la vostra conformità al GDPR).

Per quanto riguarda il secondo punto le visite ispettive avvengono o perché si fa parte della categoria di Titolari che periodicamente l’Autorità Garante individua nel suo piano di visite ispettive, o perché l’Autorità sospetta comportamenti non in linea con la normativa da parte di uno specifico titolare.

Al riguardo, quanto esposto in precedenza (ingaggio dell’Autorità da parte di un soggetto che richiede un risarcimento) o altre situazioni analoghe (segnalazioni…) può costituire un elemento che aumenta le probabilità di subire una visita ispettiva e pertanto mantenere una buona relazione con gli interessati e rispondere puntualmente alle loro richieste è fondamentale.

Quindi se non è possibile ipotizzare quali saranno le prossime categorie di Titolari oggetto di visita ispettiva (va considerato tuttavia che tali categorie comprendono in genere situazione che possono comportano un maggior rischio per i diritti e le libertà delle persone fisiche), una buona relazione con gli interessati è fondamentale (si parla in questo caso di interessati, in quanto le persone fisiche sono tutelate, ma non hanno dei diritti come quelli descritti dagli specifici articoli del GDPR. Nemmeno le persone giuridiche hanno dei diritti, anche se sono tutelate nell’ambito delle comunicazioni elettroniche della Direttiva e-privacy e quindi, in Italia, dal D.lgs. 196/03).

Analisi dei rischi e BIA per la continuità operativa: impianti normativi e soluzioni pratiche

Conclusioni

Come presentato nell’articolo la valutazione del rischio risarcitorio, basandosi su ipotesi azzardate, ma ragionevoli può produrre qualche indicazione interessante.

Qualche perplessità riguarda la possibilità di un’analoga valutazione del rischio sanzionatorio.

Al riguardo le variabili da considerare sono talmente elevate e le informazioni su cui basarsi (database delle sanzioni) poco strutturate che una stima di tali valori appare veramente molto aleatoria e veramente molto approssimativa.

Altro aspetto importante da considerare riguarda il fatto che le sanzioni irrorate fino ad oggi non costituiscono una base per la valutazione del rischio. I valori delle sanzioni, con tutti i limiti che sono stati evidenziati, costituiscono un elemento solo per la valutazione dell’impatto.

 

NOTE

  1. Si vedano al riguardo i seguenti articoli:

  2. Se un Titolare effettua trattamenti in più Stati dell’UE oltre al GDPR è soggetto alle specifiche leggi privacy e relative sanzioni penali e amministrative di ogni singolo Stato.

  3. Durante i numerosi master che ho tenuto è mia abitudine proporre agli allievi, tutti consulenti privacy e DPO, un semplice caso nel quale chiedo di identificare i soggetti tutelati dalla normativa privacy gestiti da un Titolare che svolge una banale attività B2B. Gli allievi di norma individuano solo il 50% di tali soggetti e quindi di fatto, anche se tale Titolare fosse pienamente conforme relativamente ai trattamenti che riguardano i soggetti individuati, sarebbe gravemente non conforme nei confronti di tutti gli altri soggetti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4