REGOLAMENTO UE

Valutazione d’impatto privacy e ISO 29134: linee guida per una corretta realizzazione della DPIA

È chiara l’importanza della valutazione d’impatto per la protezione dati quale adempimento specifico previsto dal GDPR per l’applicazione del principio di privacy by design. Ecco i vantaggi dell’aderenza alla ISO 29134 per la definizione, preparazione, esecuzione e predisposizione della DPIA

09 Mar 2020
P
Stefano Posti

Responsabile della protezione dati e Valutatore di Sistemi di gestione


La valutazione d’impatto privacy (Data Protection Impact Assessment, DPIA), adempimento fra i più impegnativi del GDPR, è centrale nella rappresentazione degli obiettivi di quest’ultimo, in quanto si focalizza sulle conseguenze per gli interessati e cerca di iniettare le tutele per le persone nel trattamento stesso.

Su come stabilirne la necessità, e quando procedere con tale adempimento, è stato già scritto tanto. Né si intende reiterare le specifiche peculiarità dell’adempimento della valutazione di impatto, per la quale linee guida specifiche dell’EPDB e delle Autorità di controllo europee hanno fornito, e continuano a dettagliare, i casi di necessità ovvero di esimenza nell’applicazione del Regolamento (UE) 2016/679.

Si desiderano invece puntualizzare alcuni aspetti importanti in relazione alla ricerca di parametri il più oggettivi possibile per inquadrare metodologie il più possibile coerenti.

Il ricorso alle norme tecniche standard

Ogni processo di valutazione, essendo un processo, ossia un insieme di attività tese al raggiungimento di un obiettivo, ha i suoi rischi; questo è piuttosto semplice da comprendere.

Chi si occupa di valutazione dei rischi, dunque, sa bene che al fine di ridurre il più possibile il margine di errore o di interpretazione soggettiva degli scenari, è essenziale l’utilizzo di riferimenti standard, possibilmente approvati e ufficiali, anche per esigenze di rappresentazione di garanzia e affidabilità nell’esecuzione di tali delicati processi.

La protezione dati personali è un ambito che si suole far rientrare nel più ampio dominio della sicurezza delle informazioni, la quale dispone da tempo di strumenti normativi tecnici che, maturati negli Anni 90, sono costantemente aggiornati e rielaborati, e da tempo tendono a includere in modo sempre maggiore gli aspetti correlati alla personal data protection.

Non si vuole qui, di certo, ribadire l’elenco delle norme a supporto, è piuttosto agevole recuperare la letteratura in materia, e diversi standard sono ormai “famosi” quali strumenti volontari di autoregolazione; ad esempio, è ormai ben noto che la famiglia di norme ISO/IEC 27000 si occupa dei sistemi di gestione per la sicurezza delle informazioni, e quindi anche degli aspetti connessi al risk assessment in ambito information security; invece la famiglia di norme ISO/IEC 29100, nata nel 2011, ha ristretto l’ambito di applicazione alla privacy (in un quadro generale più ampio della data protection regolamentata nel GDPR), e alle Personally Identifiable Information (PII) ossia le informazioni riferite a persone.

Le norme standard, che nascono con modalità democratiche per stabilire riferimenti di conformità per i sistemi di gestione aziendali o per le caratteristiche di un prodotto, di un processo, di un servizio (dimensionali, prestazionali, ambientali, di qualità, di sicurezza, di organizzazione), hanno sempre avuto un approccio universale e al di sopra delle giurisdizioni internazionali.

Per questo motivo, ad esempio, quelli che sono i data subjects, ossia gli interessati del GDPR, nelle norme dell’ISO (International Standard Organization) e dell’IEC (International Electrotechnical Commission) si chiamano PII principals (i “protagonisti” delle informazioni identificabili personalmente… chissà se tale accezione debba intendersi quale tentativo di soggettivazione “epica” della persona a cui si riferiscono i dati oppure, forse più verosimilmente, ha inteso mantenere il significato basilare e scientifico del soggetto a cui le informazioni si riferiscono). Il Nist (National Institute of Standards and Technology), invece, usa ad esempio il termine data about individuals, più semplice e immediato.

Tornando alla protezione dati, oltre alla normazione standard ISO/IEC e alle specifiche Framework del NIST, va detto che esistono, e sono altrettanto importanti, sia linee guida e pubblicazioni scientifiche molto contestualizzate sulla protezione dati, vedi documenti ENISA, dell’EDPB o delle Autorità di Controllo Garante, CNIL, ICO ecc., sia schemi di valutazione per la conformità (molto più specifiche, come la ISDP10003:2018 o la Europrise).

Tutti questi documenti hanno in comune la volontarietà di applicazione per dimostrare, a seconda dei casi, conformità e rispetto delle previsioni normative, impegno, garanzie di affidabilità; alcune norme sono “certificabili” (ovvero possono essere verificate da un ente terzo accreditato per i requisiti di un certo ambito), altre no.

Senza entrare nel complesso meccanismo delle certificazioni, accreditamento ecc., restiamo sulla valutazione di impatto privacy, per la quale la norma ISO/IEC 29134 ha la forma di Linee guida.

Norma ISO/IEC 29134: linee guida per la DPIA

La norma ISO/IEC 29134, pubblicata nel 2011 e aggiornata nel 2017, è probabilmente la norma più utilizzata, attualmente, come riferimento per la definizione, preparazione, esecuzione e predisposizione delle valutazioni di impatto privacy.

Poiché le previsioni dell’art. 35 del GDPR, relativo alla DPIA, possono essere ricondotte, in qualche modo, ai requisiti della ISO/IEC 29134, molti software o tool si sono ispirati a questa norma, anche solo per il fatto che essa è l’unica linea guida standard sul privacy impact assessment, e per il fatto che ha definito sin dal principio che la valutazione di impatto privacy è un processo, e non un adempimento formale e documentale fine a se stesso.

Tuttavia, a parere dello scrivente è doveroso far notare che non tutte le fattispecie della valutazione di impatto privacy del GDPR possono essere ricondotte ai requisiti della norma ISO/IEC 29134; ad esempio, quest’ultima non considera la valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; né traccia specifiche indicazioni per valutare i rischi per i diritti e le libertà degli interessati, come previsto dall’art. 35 del GDPR.

La norma ISO/IEC 29134 dedica i paragrafi fondamentali, il 5, il 6 e il 7, rispettivamente a:

  • preparazione delle basi per il Privacy Impact Assessment;
  • linee guida sulla conduzione del processo di valutazione di impatto;
  • risultanze e report del privacy impact assessment.

I paragrafi sono, al loro interno, ulteriormente articolati e dettagliati, soprattutto per la parte di follow up (trattamento dei rischi), includendo requisiti per individuare gli owner dei processi di trattamento dei rischi e modalità di reporting, volte a coinvolgere le figure apicali del Titolare del trattamento. Questo aspetto inerente i ruoli e responsabilità, e le relative decisioni finali, e il riesame da parte del Titolare del trattamento, è utile nell’inquadrare le previsioni dell’art. 35.

Molti esperti di normazione standard, tuttavia, non amano questa norma, che sebbene abbia avuto l’indiscutibile pregio di fornire riferimenti sulle modalità di conduzione del processo di valutazione, risulta in alcune parti poco attenta al trattamento di dati personali in questione, e quindi non coerente; ma facciamo qualche esempio.

Nel paragrafo 6.4.4.1 sull’identificazione dei rischi privacy, la norma invita a considerare altri aspetti sulla sicurezza del trattamento oltre ai casi di distruzione, perdita, modifica, divulgazione non autorizzata delle informazioni riferite agli interessati; non soltanto va valutato l’impatto derivante dalla perdita di una o più delle caratteristiche della sicurezza delle informazioni, ossia riservatezza, integrità e disponibilità, che rappresenta la gravità del danno diretto o indiretto causato agli interessati: dovrebbero essere considerati altri fattori relativi alla trasparenza e consapevolezza, e al rispetto di principi applicabili ai trattamenti di dati personali, e ritrovabili fra quelli previsti dal GDPR come fondamentali.

Questo è, a parere dello scrivente, il punto più “nobile” della norma, perché mette al centro le persone.

Infatti, nei modelli di DPIA che ho realizzato e che in genere utilizzo, per la determinazione del livello di impatto utilizzo una tabella come quella che segue e che consente di individuare quali sono le possibili conseguenze per gli interessati in riferimento al trattamento analizzato:

RischioConseguenzePrincipi/proprietà a rischio
Perdita di dati;[specificare]Disponibilità, Riservatezza
Distruzione non autorizzata di dati;[specificare]Disponibilità, Integrità
Modifiche indesiderate o non autorizzate ai dati;[specificare]Integrità
Divulgazione non autorizzata di dati personali;[specificare]Riservatezza
Accesso illegittimo o non autorizzato ai dati;[specificare]Riservatezza, Integrità
Eccessiva raccolta di dati personali;[specificare]Adeguatezza, pertinenza, limitata finalità
Collegamenti o raffronti inappropriati o non autorizzati a dati personali;[specificare]Adeguatezza, pertinenza, limitata finalità
Mancata considerazione dei diritti degli interessati (mancanza di trasparenza)[specificare]Liceità, correttezza e trasparenza
Trattamenti di dati personali senza la idonea conoscenza e il consenso (quando necessario) degli interessati[specificare]Liceità, correttezza e trasparenza
Divulgazione o riuso per finalità diverse dei dati personali senza la consapevolezza e/o il consenso degli interessati[specificare]Liceità, correttezza e trasparenza; Adeguatezza, pertinenza, limitata finalità
Conservazione immotivamente prolungata dei dati personali[specificare]Limitazione della conservazione

Tabella 1 – Valutazione d’impatto privacy e ISO 29134: determinazione impatti per gli interessati.

Nella Tabella 1 ho tradotto, in sostanza, gli altri aspetti che la ISO/IEC 29134 invita a considerare oltre ai classici (accesso illegittimo ai dati, modifiche indesiderate ai dati, perdita di dati). Si dovrebbero infatti considerare, nella DPIA, conseguenze derivanti anche da rischi non propriamente correlati alla “sicurezza” dei dati trattati (ad esempio, si pensi a informazioni agli interessati non pienamente comprese o alla mancanza di consapevolezza sul riuso dei dati, sui tempi di conservazione ecc. che hanno assolutamente degli impatti per i diritte e le libertà delle persone).

Le conseguenze per gli interessati dovrebbero essere il vero fulcro della valutazione di impatto privacy; infatti in altre metodologie le possibili conseguenze vengono ulteriormente dettagliate, insieme al flusso delle operazioni di trattamento. La CNIL nella sua metodologia per la valutazione di impatto ha provato ad elencare una lista di possibili conseguenze, che vanno da un disagio e un senso di fastidio a impatti concreti, discriminazione, perdite di opportunità economiche o professionali, conseguenze per la salute, fino a danni irreparabili e gravissimi.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

Questa tabella (tradotta in italiano dallo scrivente) categorizza le possibili conseguenze per tipo di impatto (psicologico, materiale, fisico) e per gravità.

Dunque, nella 29134 troviamo spunti interessanti che ampliano il paradigma classico denominato RID (riservatezza, integrità e disponibilità); peccato però che, dopo questo importante suggerimento, la norma ISO/IEC 29134 si concentri, per l’analisi delle vulnerabilità e la stima dei rischi, praticamente soltanto sugli assets per preparare il trattamento dei rischi.

Infatti, nel proseguimento della gestione del processo non si fa poi più alcuna menzione degli aspetti di rischio suggeriti, come si può dedurre anche dall’Annex B della norma (quello sulle minacce generiche, molto utilizzato come riferimento).

Per comodità, rappresento di seguito una traduzione (non ufficiale, realizzata dallo scrivente) delle categorie di minacce della 29134.

CATEGORIAAZIONERISCHIO PRIVACYESEMPIO DI MINACCE
HardwareUso anomaloPerdita dei datiArchiviazione di informazioni, uso personale
HardwareUso anomaloAccesso illegittimo ai datiUtilizzo di USB flash drives o dischi che non sono idonei alla sensibilità delle informazioni; uso o trasporto di dispositivi sensibili per fini personali etc.
HardwareDanni fisici/materialiPerdita dei datiAllagamenti, incendi, atti vandalici; danni fisici/materiali da eventi naturali o malfunzionamenti di dispositivi di memorizzazione, etc.
HardwareIntercettazione (umana/tecnologica)Accesso illegittimo ai datiSbirciare lo schermo/passwords di persone, origliare, scattare foto di uno schermo, geolocalizzare dispositive, rilevamento di segnali elettromagnetici, etc.
HardwarePerditaPerdita dei datiFurto di laptop o smartphones, smaltimento non controllato di hardware o dispositive, etc.
HardwarePerditaAccesso illegittimo ai datiFurto di un pc portatile in una stanza d’albero, furto di smartphone aziendale da parte di un borseggiatore, recupero di dispositive di memorizzazione o di hardware; smarrimento di un dispositivo elettronico, etc.
HardwareModificaPerdita dei datiAggiunta di hardware in compatibile che comporta malfunzionamenti; rimozione di component essenziali per l’operatività dei sistemi, etc.
HardwareModificaAccesso illegittimo ai datiTracciamento da parte di un keylogger basato su hardware; rimozione di component; connessione di dispositive (es. USB) che lanciano sistemi operativi o acquisiscono o modificano dati, etc.
HardwareModificaModifiche indesiderate ai dati personaliAggiunta di hardware incompatibile che provoca malfunzionamenti; rimozione di component essenziali per il corretto funzionamento di applicazioni, etc..
HardwareSovraccaricoPerdita dei datiDispositivi di memorizzazione (es. Dischi) pieni; sbalzi di corrente, sovraccarico delle capacità dei processori; surriscaldamento, temperature eccessive, etc.
HardwarePerdita di dischi rigidiAccesso illegittimo ai datiProcedure di smaltimento o contratti di manutenzione superficiali o inidonei possono configurare accesso non autorizzato a dati personali.
SoftwareUso anomaloPerdita dei datiCancellazione di dati; uso di software copiato o contraffatto; errore di cancellazione dati da parte degli operatori
SoftwareUso anomaloAccesso illegittimo ai datiScansioni di contenuti; riferimenti incrociati illeciti; abuso di privilegi sui dati; cancellazione delle trace di utilizzo; invio di spam mediante un software e-mail; uso non corretto di funzioni di rete, etc.
SoftwareUso anomaloModifiche indesiderate ai dati personaliModifiche indesiderate alle informazioni nei database; cancellazione di files necessary per il corretto funzionamento di software; operatori che modificano dati, etc.
SoftwareDanni fisici/materialiPerdita dei datiCancellazione di programmi eseguibili o di codice sorgente; bombe logiche, etc.
SoftwareIntercettazione (umana/tecnologica)Accesso illegittimo ai datiScanning di indirizzi e porte di rete; raccolta di dati di configurazione; analisi di codice sorgente per individuare vulnerabilità e falle nei sistemi; test di come I database rispondano a queries di attacco deliberato, etc.
SoftwareIntercettazione (umana/tecnologica)Accesso illegittimo ai datiScanning di indirizzi e porte di rete; vulnerabilità di attacco nell’ascolto, analisi e reporting delle porte e dei servizi.
SoftwarePerditaPerdita dei datiLicenze del software usato per l’accesso ai dati non rinnovate, etc.
SoftwareModificaPerdita dei datiErrori durante aggiornamenti, configurazione o manutenzione; infezioni da malware; sostituzione di componenti, etc.
SoftwareModificaAccesso illegittimo ai datiTracciamento da keylogger software-based; infezioni da malware; installazione di tools di Amministrazione remota; sostituzione di componenti o parti del software, etc.
SoftwareModificaModifiche indesiderate ai dati personaliErrori durante aggiornamenti, configurazione o manutenzione; infezioni da malware; sostituzione di componenti, etc.
SoftwareSovraccaricoPerdita dei datiEccedenze nelle dimensioni del database; iniezioni di dati fuori dall’intervallo normale dei valori, etc.
Mezzi di comunicazione informaticaDanni fisici/materialiPerdita dei datiTaglio dei cavi di rete; segnale Wi.-Fi non sufficiente, etc.
Mezzi di comunicazione informaticaIntercettazione (umana/tecnologica)Accesso illegittimo ai datiIntercettazione di traffic Ethernet; acquisizione di dati trasmessi in una rete Wi-Fi, etc.
Mezzi di comunicazione informaticaPerditaPerdita dei datiFurto di cavi di rame, etc.
Mezzi di comunicazione informaticaModificaModifiche indesiderate ai dati personaliAttacchi “Man-in-the-middle” o “Man in the browser” per modificare o aggiungere dati al traffic di rete; attacchi replay (reinvio di dati intercettati), etc.
Mezzi di comunicazione informaticaSovraccaricoPerdita dei datiUso improprio di banda; download non autorizzati; perdita di connettività Internet, etc.
PersoneUso anomaloAccesso illegittimo ai datiInfluenze (phishing, social engineering, corruzione, etc.); pressioni (ricatti, molestie psicologiche, etc.), etc.
PersoneUso anomaloModifiche indesiderate ai dati personaliInfluenze (pettegolezzi, disinformazione, etc.), etc.
PersoneDanni fisici/materialiPerdita dei datiInfortunio sul lavoro; malattia professionale; oltri infortuni o malattie; morte; indisposizione neurologica, psicologica o psichiatrica, etc.
PersoneIntercettazione (umana/tecnologica)Accesso illegittimo ai datiDivulgazione non intenzionale di informazioni nei colloqui; uso di dispositive di ascolto per origliare o registrare di nascosto negli incontri, etc.
PersonePerditaPerdita dei datiRiassegnazione ruoli; termine o cessazione per interruzione di contratti; subentro di tutta o parte dell’organizzazione, etc.
PersonePerditaAccesso illegittimo ai datiSoffiare il personale ad un’altra organizzazione; cambi di mansione; subentro di tutta o parte dell’organizzazione, etc.
PersoneSovraccaricoPerdita dei datiCarichi di lavoro eccessivi, stress o cambiamenti negative nelle condizioni lavorative; assegnazione di compiti al personale oltre le loro capacità; uso insufficiente di competenze, etc.
PersoneSovraccaricoModifiche indesiderate ai dati personaliCarichi di lavoro eccessivi, stress o cambiamenti negative nelle condizioni lavorative; assegnazione di compiti al personale oltre le loro capacità; uso insufficiente di competenze, etc.
Documenti cartaceiDanni fisici/materialiPerdita dei datiInvecchiamento o deterioramento dei documenti archiviati; documenti bruciati durante un incendio, etc.
Documenti cartaceiIntercettazione (umana/tecnologica)Accesso illegittimo ai datiLeggere, fotocopiare, fotografare, etc.;
Documenti cartaceiPerditaPerdita dei datiFurto di documenti; perdita di documentazione durante spostamenti; smaltimento, etc.
Documenti cartaceiPerditaAccesso illegittimo ai datiFurto di documenti dagli uffici; furto dalle cassette postali; recupero dati da documenti gettati via, etc.
Documenti cartaceiModificaModifiche indesiderate ai dati personaliCambio di ciifre in un document, sostituzione di un document originale con una copia falsificata, etc.
Documenti cartaceiSovraccaricoPerdita dei datiCancellazione graduale nel tempo; cancellazione volontaria di porzioni di documenti, etc.
Canali di trasmissione documentazione cartaceaDanni fisici/materialiPerdita dei datiInterruzione di un flusso autorizzativo dovuto ad una riorganizzazione; consegna di posta interrotta da sciopero, etc.
Canali di trasmissione documentazione cartaceaIntercettazione (umana/tecnologica)Accesso illegittimo ai datiLettura di libri firma in circolazione; riproduzione documenti in transito, etc.
Canali di trasmissione documentazione cartaceaPerditaPerdita dei datiEliminazione di un processo a seguito di una riorganizzazione; perdita di un fornitore di consegna documenti, etc.
Canali di trasmissione documentazione cartaceaModificaPerdita dei datiModifiche a come la posta viene smistata. Riorganizzazione dei sistemi di trasmissione documentazione cartacea; cambio di lingua ufficiale o lavorativa, etc.
Canali di trasmissione documentazione cartaceaModificaModifiche indesiderate ai dati personaliModifiche a una nota senza che l’autore ne sia a conoscenza; cambio da un libro firma ad un altro; invio di più documenti in conflitto tra loro, etc.
Canali di trasmissione documentazione cartaceaSovraccaricoPerdita dei datiQuantità di posta eccessiva; processo di validazione sovraccarico, etc.

Tabella 2 – Traduzione della tabella “Generic Threats” – Annex B della ISO/IEC 29134.

L’apporto di altre norme nel processo di valutazione d’impatto

Ma possono altre pubblicazioni e norme tecniche essere usate come riferimento nella DPIA?

Sicuramente sì. Diverse Autorità di Controllo (es. ICO, CNIL) hanno pubblicato specifiche linee guida e tools (fra tutti, il PIA Tool del CNIL, tradotto in molte lingue e utilizzatissimo anche in Italia grazie al lavoro di traduzione dell’Autorità Garante, che dedica alla DPIA anche un’apposita area tematica sul sito web).

Inoltre, diverse metodologie proprietarie sono basate su valutazione dei rischi che fanno riferimento alle norme standard (es. ISO 31000, ISO/IEC 27005), ad esempio.

Lo schema di valutazione ISDP10003:2018, specifico per il GDPR, dedica adeguata attenzione alla valutazione di impatto nei requisiti di conformità, assegnandole un intero macro-processo, l’A6, con punti di controllo assolutamente coerenti con i requisiti del GDPR.

Più in generale, l’utilizzo delle norme tecniche si ritrova negli aspetti relativi ai contenuti della documentazione a supporto del processo (è un processo documentato, questo non bisogna dimenticarlo).

Infatti, il requisito dei contenuti della DPIA di cui all’Art. 35 p. 7 c):

“una valutazione dei rischi per i diritti e le libertà degli interessati”;

e quello del p. 7 d):

le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”,

ben si prestano a riferirsi a molti punti di controllo delle norme tecniche.

Il considerando 76 del GDPR vorrebbe addirittura che il rischio venisse “considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato”.

Darsi una metodologia il più possibile oggettiva, ripetibile, in grado di mantenere la coerenza e le relazioni d’ordine con altre valutazioni è tutt’altro che semplice.

Qui gli standard possono aiutare, ma per la valutazione di impatto solo fino ad un certo punto.

In sostanza, se è vero che per la valutazione dei rischi è obbligo individuare gli asset a supporto del trattamento (ma anche i processi di rispetto dei principi applicabili al trattamento) e valutare minacce, vulnerabilità, e individuare le misure di mitigazione dei rischi specifiche, la valutazione di impatto prevede ragionamenti ulteriori, come abbiamo visto.

Le norme tecniche, comunque, sono di fondamentale supporto, anche perché l’accountability richiesta dal GDPR prevede espressamente una governance dei processi.

I punti di controllo dell’Annex A della ISO/IEC 27001:2013, argomentati nella ISO/IEC 27002:2013 (una raccolta di “best practice” che possono essere adottate per applicare i controlli e soddisfare i requisiti della 27001 al fine di proteggere gli assets informativi), coprono molti ambiti operativi della governance per la Information security.

Nel 2017, nell’ambito della famiglia di norme 29000 specifiche per la privacy, un’altra Codice di buone pratiche, la ISO/IEC 29151 ha esteso l’ambito dei punti di controllo inserendone altri specifici per il rispetto degli 11 principi del framework 29100:

  1. libera scelta e consenso;
  2. finalità, legittimità e specificità;
  3. limitazione della raccolta;
  4. minimizzazione dei dati;
  5. limitazione dell’uso, conservazione e divulgazione;
  6. accuratezza e qualità;
  7. apertura, trasparenza e informativa;
  8. partecipazione e accesso individuale;
  9. accountability;
  10. information security;
  11. compliance privacy.

Nel 2019, la norma ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines ha ulteriormente esteso i controlli per realizzare, nell’ambito di un Sistema di Gestione per la Sicurezza delle informazioni (ISMS o, in italiano, SGSI) un PIMS – Personal Information Management System), un Sistema di Gestione per I dati personali.

Esistono anche importanti documenti di riferimento italiani, fra i quali è doveroso segnalare:

  • la UNI/PdR 43.1:2018 – Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) – Gestione e monitoraggio dei dati personali in ambito ICT;
  • la Framework Nazionale per la Cybersecurity e la Data Protection;
  • le Misure minime di sicurezza ICT per le pubbliche amministrazioni emanate dall’AgID (Agenzia per l’Italia digitale).

Ovviamente, non va dimenticato lo schema di valutazione per la conformità al GDPR ISDP10003:2018 citato in precedenza.

Ora, con tante norme a fornire strumenti di controllo delle operazioni per la sicurezza e a fornire prassi, spesso, per gli stessi processi, c’era da aspettarsi un proliferare di strumenti di mappature dei controlli fra i diversi documenti tecnici, e in alcuni casi con gli articoli del GDPR.

In alcuni modelli, come quelli del NIST, del Framework Nazionale per la Cybersecurity e la Data Protection italiano (che deriva dalla framework Nist) e le Misure minime AgID, le mappature con altri riferimenti sono previste espressamente, proprio per “rafforzare” l’importanza del punto di controllo.

Ecco un esempio:

FUNCTIONIDENTIFY (ID)
CATEGORYRisk Assessment (ID.RA)
SUBCATEGORY
DP-ID.RA-7: Viene effettuata una valutazione di impatto sulla protezione dei dati personali.
CONTROLLIRIFERIMENTI GDPR
DP-ID.RA-7-01: Qualora un tipo di trattamento di dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento, consultato il responsabile della protezione dei dati, effettua una valutazione dell’impatto sulla protezione dei dati personali.Art. 35(1-5)
DP-ID.RA-7-02: Il titolare del trattamento si assicura che la valutazione d’impatto contenga quanto previsto dal Regolamento.Art. 35(7)
DP-ID.RA-7-03: Il titolare del trattamento, nell’effettuare la valutazione d’impatto sulla protezione dei dati personali, tiene conto del rispetto dei codici di condotta e, se del caso, delle opinioni degli interessati o dei loro rappresentanti sul trattamento.Art. 35(8), (9)
DP-ID.RA-7-04: Il titolare del trattamento procede ad un riesame della valutazione di impatto con cadenza periodica e qualora insorgano variazioni del rischio rappresentato dalle attività relative al trattamento.Art. 35(11)
DP-ID.RA-7-05: Qualora la valutazione di impatto sulla protezione dei dati personali indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate per attenuare il rischio, il titolare del trattamento consulta l’autorità di controllo.Art. 36(1), (3)

Tabella 3 – Controllo DP-ID-RA-7 del Framework Nazionale per la Cybersecurity e la Data Protection.

Nella fase di valutazione dei rischi all’interno del processo di DPIA, dunque, il costante rimando ai riferimenti standard è diventato molto comune.

Attenzione, però. Il trattamento e le conseguenze per le persone vanno analizzati in modo specifico! Le misure di mitigazione dei rischi individuati devono essere contestualizzate all’attività di trattamento oggetto di esame, e non generiche.

Ecco perché si suggerisce sempre di ragionare, fatto salvo l’ausilio di cataloghi di minacce e vulnerabilità di riferimento, sugli eventi dannosi effettivamente applicabili, e sulle misure realmente applicate per ridurre il livello di rischio.

Poi, per l’ottimizzazione dei processi, potremo anche usare riferimenti di prassi standard; infatti il presidio dei controlli è un aspetto di governo delle misure di mitigazione molto importante, e i riferimenti alle norme tecniche contribuiscono alla dimostrazione di aver implementato le misure in modo efficace.

D’altro canto, l’opportunità di poter spiegare, nel report di Valutazione di impatto, che la governance viene eseguita con certe misure, perché lo raccomandano i controlli A, B, C delle norme X, Y, Z è un elemento di accountability non irrilevante, perché attesta che sono state acquisite e considerate le migliori prassi standard.

Quali prassi utilizzare, fra le tante?

Ovviamente, non esistono regole. È necessario sicuramente considerare il contesto dell’attività di trattamento oggetto di Valutazione di impatto, l’ambito di eventuale pubblicazione e traduzione dei documenti eccetera.

Ad esempio, per giustificare meglio le misure di mitigazione applicate (in modo specifico) per ridurre il rischio, si può utilizzare un self-assessment “di governo” per giustificare con maggior dettaglio il rischio residuo.

Si immagini di poter assegnare un livello di adeguatezza alle seguenti famiglie di controlli dove i valori sono:

  1. Inadeguato
  2. Parzialmente adeguato
  3. Quasi adeguato
  4. Adeguato

Una tabella come quella rappresentata di seguito evidenzia, ad esempio, che si rilevano mancanze nella gestione (applicazione non è pienamente conforme, es. per errori formali o sostanziali ancora presenti, o perché non sono state condotte verifiche di efficacia e audit).

Controllo (Rif. GDPR – ISO/IEC 27001/29151/27701 e ISDP10003:2018) Valutaz.NOTE E GIUSTIFICAZIONI
Art. 37 38 39 GDPR / ISDP10003 A.2.4 / Designazione, Ruolo e Compiti del Responsabile della protezione dati4[Es. è stato designato l’RPD e sono documentate le scelte compiute per l’individuazione della necessità e i criteri di valutazione e selezione; sono altresì formalizzati i compiti e gli ambiti di operatività, e risultano evidenze dell’operato dell’RPD]
27001 A.10 / 29151 A.10 / Art. 32 GDPR / ISDP10003 A.5.4 / Misure di sicurezza – pseudonimizzazione e/o cifratura dei dati personali3
27001 A.9 – A.10 – A.11 – A.12 – A.15 – A.17 / 29151 A.9 – A.10 – A.11 – A.12 – A.15 – A.17 / Art. 32 GDPR / ISDP10003 A.5.3 / 27701 A.7.4 – A.7.2.6 – A.7.2.5 / Misure di sicurezza – generale capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento3
29151-A.6 – A.7 / 27701 – A.7.4.1 e A.7.4.2 / ISDP10003 A.3.1 / Limitazione della raccolta dati e minimizzazione3
29151-A.4.1 – A.4.2 / 27701 A.7.2.1. – A.7.2.2 – A.7.3.1 / ISDP10003 A.3.2 / Applicazione della Legittimità e Specifica delle finalità4
29151-A.9.1 – A.9.2 / 27701 – A.7.3.2 – A.7.3.3 / ISDP10003 A.3.3 / Informative trasparenti e comprensibili – Trasparenza3
29151 A.3.1 – A.3.2 / 27701 A.7.3.4 / ISDP10003 A.3.2 / Raccolta e gestione dei consensiNA
29151 A.7.1 / 27701 A.7.4.4 – A.7.4.5 – A.7.4.6 – A.7.4.7 – A.7.4.8 – A.7.4.9 / ISDP10003 A.3.5 / Limitazione dell’uso, conservazione e divulgazione3
29151 A.10 / 27701 A.7.3 / ISDP10003 A.3.4 / Gestione dell’esercizio dei diritti degli interessati3
29151 A.8 / 27701 A.7.4.3 / ISDP10003 A.3.1 / Accuratezza e Qualità dei dati personali3
27001 A.05 – A.18 / 29151 A.2 – A.5 / Art. 32 GDPR / 27701 A.7.2 – A.7.4 / ISDP10003 A.1.1 – A.4.1. A.5.1. A.5.3 / Politica e Procedure per la sicurezza delle informazioni (Istruzioni documentate per la sicurezza e la protezione dati), inclusa una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento3
27001 A.06 – A.15 / 29151 A.06 – A.11 – A.15 / ISDP10003 A.2.1 – A.2.2. / Ruoli e responsabilità per la sicurezza delle informazioni (Organigramma, Istruzioni e policy specifiche per la protezione dei dati personali, Vincoli di riservatezza, separazione dei compiti per evitare conflitti di interesse, Autorizzazioni ai dati personali)3
27001 A.08 / 29151. A.8 / Gestione degli asset (Censimento, manutenzione, aggiornamenti e monitoraggio dei sistemi di elaborazione – servers – workstations – dispositivi mobile)4
27001 A.9 – A.12 / 29151 A.12.1 A.13 / ISDP1003 A.4 / Procedure operative e responsabilità del personale IT – Procedure documentate per la gestione delle responsabilità dei Sistemi, e per gestire le attività di sviluppo, test e cambiamenti3
27001 A.15 / 29151-A.11.3-ADD / ISDP1003 A.2.3 – A.7.2 / Relazione con i fornitori (clausole contrattuali con processors e subprocessors, diritti di audit, diritto ad acquisire documenti ed evidenze a garanzia dei trattamenti affidati)3
27001 A.16 / 29151-A.7.3 / ISDP10003 A.5.2 / 27701 Section 6 PIMS-specific guidance related to ISO/IEC 27002 / Gestione degli incidenti relativi alla sicurezza delle informazioni (Procedure per la gestione degli incidenti e data breach conosciute da autorizzati e processors, distribuzione moduli e/o strumenti per la segnalazione e Registro Incidenti)3
27001 A.17 / 29151 A.17 / ISDP1003 A.5.4 / Art. 32 GDPR / Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa (Business continuity Plan, Politica per i livelli di servizio e assegnazione dei compiti in caso di interruzione o indisponibilità, eventuale sito di disaster recovery) o altre misure per dimostrare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico3
27001 A.7 / 29151 A.11.1 / ISDP1003 A.5.4 / Art. 28-29 GDPR / Sicurezza delle risorse umane (Vincoli di riservatezza e autorizzazioni documentate, Istruzioni e verifica del rispetto delle procedure)3
27001 A.07.02.02 / 291591 A.11.5 / ISDP1003 A.5.3 / Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni (sensibilizzazione continua di dipendenti e collaboratori, formazione e informazione, verifica della comprensione delle istruzioni ricevute)3
27001 A.09 / 29151 A.12 / ISDP1003 A.5.2 – A.5.3 – A.5.4 / Controllo degli accessi ai sistemi per il trattamento dati (Gestione delle credenziali di accesso univoche, politica di password complesse e dove necessario autenticazione a due fattori, profili di autorizzazione ai soli dati di pertinenza (Applicazione del principio del need to know e segregation of duty, (indispensabilità e necessità, separazione))3
27001 A.12.04 / ISDP1003 A.5.2 – / Raccolta dei log e monitoraggio (files di registro attivati per ogni sistema / applicazione utilizzata per il trattamento dei dati personali (visualizzazione, modifica, cancellazione) sia per gli operatori che per gli amministratori di reti, database e sistemi3
27001 A.12 / ISDP1003 A.5.2 – A.5.3 – A.5.4 / Sicurezza delle attività operative (tecniche di crittografia per supporti di memorizzazione (Postazioni e supporti esterni, pseudonimizzazione, query sicure sul db)3
27001 A.14.01 / ISDP1003 A.5.2 – A.5.4 / Requisiti di sicurezza dei sistemi informativi (gestione privilegi sulle workstation, antivirus e aggiornamenti di sicurezza, vincoli sui supporti removibili, auditing dei trasferimenti di dati)3
27001 A.13 / ISDP1003 A.5.2 – A.5.4 / Sicurezza delle comunicazioni (Navigazione Internet controllata, Firewall, protocolli SSL/TSL, Wireless protette, accessi VPN idoneamente protetti e controllati periodicamente)3
27001 A.12.03 / ISDP1003 A.5.2 – A.5.4 / Backup (Politiche e procedure documentate, Salvataggi Registri dei backup e dei test di ripristino, dati backup crittografati e conservati in luogo diverso)3
27001 A.06.02 / Dispositivi portatili e telelavoro (Politica mobile devices, BYOD, ruoli e responsabilità definiti e documentati, crittografia per devices che accedono a sistemi IT)3
27001 A.12.6 / Gestione delle vulnerabilità tecniche
27001 A.14.2 / Sicurezza nei processi di sviluppo e supporto
(gestione del ciclo di vita dello sviluppo e dei sistemi, valutazione vulnerabilità e aggiornamenti, patch, verifica sistemi aperti al web, penetration test)
3
27001 A.08.03.02 / Dismissione dei supporti
27001 A.11.02.07 / Dismissione sicura o riutilizzo delle apparecchiature
(Procedura documentata per la distruzione controllata e sicura dei documenti cartacei e per la cancellazione sicura dei dati con smagnetizzazione o altre tecniche; affidamento a responsabile esterno con attività supervisionate e certificate)
3
27001 A.11 / ISDP1003 A.5.2 – A.5.3 / Sicurezza fisica e ambientale (Le aree ed i locali sono controllati per l’accesso sia al personale che per gli esterni, e protetti con sistemi anti-intrusione, e i criteri di sicurezza e di controllo accessi vengono periodicamente revisionati)3

Tabella 4 – Esempio punti di controllo con riferimenti per self-assessment di governance

Nell’esempio della tabella, lo scrivente ha deliberatamente scelto di non selezionare controlli specifici di questa o quella norma, considerando invece “Famiglie” di controlli quali ambiti di governo applicabili ai processi di gestione dei trattamenti di dati personali, indicando i riferimenti incrociati alla 27001/29151/27701 e ISDP10003.

Tale scelta, e le modalità con le quali il self-assessment incida nella stima del livello di rischio residuo, deve essere ovviamente documentata nel Report di valutazione di impatto; così come eventuale ricorso ad altri riferimenti (pubblicazioni CNIL, cataloghi e norme ecc.)

Conclusioni

Le norme tecniche, gli schemi di valutazione, le linee guida e le pubblicazioni tecniche sulla sicurezza delle informazioni e sulle tecniche di protezione dati costituiscono senz’altro riferimenti che aiutano a condurre il processo di valutazione di impatto per la protezione dati con elementi di oggettività che possono aiutare sia chi partecipa al processo di valutazione, sia chi ne deve verificare le risultanze.

La norma standard ISO/IEC 29134, Linee guida per il privacy impact assessment, sebbene nata nella framework ISO 29000 con focus sulle informazioni riferite alle persone, non è idonea a soddisfare tutti i requisiti dell’art. 35 del GDPR; ciò nonostante, è uno dei principali strumenti tecnici che forniscono indicazioni per la conduzione del processo di valutazione di impatto.

Offre spunti interessanti, ma presenta anche alcune contraddizioni.

Abbiamo visto che anche altre norme tecniche, alcune delle quali piuttosto recenti, possono essere utili per i necessari presidi di controllo che garantiscano l’efficacia delle misure di mitigazione adottate per ridurre il livello di rischio che, come abbiamo visto, nella DPIA è elevato già in partenza.

Strumenti utilissimi, dunque, il cui utilizzo ha però come prerequisito un’adeguata conoscenza della documentazione, che si ottiene con impegno a letture non sempre “digeribilissime”.

WEBINAR
AI, protezione dei dati e flessibilità: anche questo è Storage
Intelligenza Artificiale
Storage

Andrebbe dunque sfatata che le norme tecniche siano delle “checklist standard pronte per l’uso”; per l’applicazione alla delicata materia della protezione dati, c’è da molto da studiare, al fine di ottenere strumenti di governance efficaci e soprattutto calati sull’attività di trattamento oggetto di valutazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4