La valutazione d’impatto privacy (Data Protection Impact Assessment, DPIA), adempimento fra i più impegnativi del GDPR, è centrale nella rappresentazione degli obiettivi di quest’ultimo, in quanto si focalizza sulle conseguenze per gli interessati e cerca di iniettare le tutele per le persone nel trattamento stesso.
Su come stabilirne la necessità, e quando procedere con tale adempimento, è stato già scritto tanto. Né si intende reiterare le specifiche peculiarità dell’adempimento della valutazione di impatto, per la quale linee guida specifiche dell’EPDB e delle Autorità di controllo europee hanno fornito, e continuano a dettagliare, i casi di necessità ovvero di esimenza nell’applicazione del Regolamento (UE) 2016/679.
Si desiderano invece puntualizzare alcuni aspetti importanti in relazione alla ricerca di parametri il più oggettivi possibile per inquadrare metodologie il più possibile coerenti.
Indice degli argomenti
Il ricorso alle norme tecniche standard
Ogni processo di valutazione, essendo un processo, ossia un insieme di attività tese al raggiungimento di un obiettivo, ha i suoi rischi; questo è piuttosto semplice da comprendere.
Chi si occupa di valutazione dei rischi, dunque, sa bene che al fine di ridurre il più possibile il margine di errore o di interpretazione soggettiva degli scenari, è essenziale l’utilizzo di riferimenti standard, possibilmente approvati e ufficiali, anche per esigenze di rappresentazione di garanzia e affidabilità nell’esecuzione di tali delicati processi.
La protezione dati personali è un ambito che si suole far rientrare nel più ampio dominio della sicurezza delle informazioni, la quale dispone da tempo di strumenti normativi tecnici che, maturati negli Anni 90, sono costantemente aggiornati e rielaborati, e da tempo tendono a includere in modo sempre maggiore gli aspetti correlati alla personal data protection.
Non si vuole qui, di certo, ribadire l’elenco delle norme a supporto, è piuttosto agevole recuperare la letteratura in materia, e diversi standard sono ormai “famosi” quali strumenti volontari di autoregolazione; ad esempio, è ormai ben noto che la famiglia di norme ISO/IEC 27000 si occupa dei sistemi di gestione per la sicurezza delle informazioni, e quindi anche degli aspetti connessi al risk assessment in ambito information security; invece la famiglia di norme ISO/IEC 29100, nata nel 2011, ha ristretto l’ambito di applicazione alla privacy (in un quadro generale più ampio della data protection regolamentata nel GDPR), e alle Personally Identifiable Information (PII) ossia le informazioni riferite a persone.
Le norme standard, che nascono con modalità democratiche per stabilire riferimenti di conformità per i sistemi di gestione aziendali o per le caratteristiche di un prodotto, di un processo, di un servizio (dimensionali, prestazionali, ambientali, di qualità, di sicurezza, di organizzazione), hanno sempre avuto un approccio universale e al di sopra delle giurisdizioni internazionali.
Per questo motivo, ad esempio, quelli che sono i data subjects, ossia gli interessati del GDPR, nelle norme dell’ISO (International Standard Organization) e dell’IEC (International Electrotechnical Commission) si chiamano PII principals (i “protagonisti” delle informazioni identificabili personalmente… chissà se tale accezione debba intendersi quale tentativo di soggettivazione “epica” della persona a cui si riferiscono i dati oppure, forse più verosimilmente, ha inteso mantenere il significato basilare e scientifico del soggetto a cui le informazioni si riferiscono). Il Nist (National Institute of Standards and Technology), invece, usa ad esempio il termine data about individuals, più semplice e immediato.
Tornando alla protezione dati, oltre alla normazione standard ISO/IEC e alle specifiche Framework del NIST, va detto che esistono, e sono altrettanto importanti, sia linee guida e pubblicazioni scientifiche molto contestualizzate sulla protezione dati, vedi documenti ENISA, dell’EDPB o delle Autorità di Controllo Garante, CNIL, ICO ecc., sia schemi di valutazione per la conformità (molto più specifiche, come la ISDP10003:2018 o la Europrise).
Tutti questi documenti hanno in comune la volontarietà di applicazione per dimostrare, a seconda dei casi, conformità e rispetto delle previsioni normative, impegno, garanzie di affidabilità; alcune norme sono “certificabili” (ovvero possono essere verificate da un ente terzo accreditato per i requisiti di un certo ambito), altre no.
Senza entrare nel complesso meccanismo delle certificazioni, accreditamento ecc., restiamo sulla valutazione di impatto privacy, per la quale la norma ISO/IEC 29134 ha la forma di Linee guida.
Norma ISO/IEC 29134: linee guida per la DPIA
La norma ISO/IEC 29134, pubblicata nel 2011 e aggiornata nel 2017, è probabilmente la norma più utilizzata, attualmente, come riferimento per la definizione, preparazione, esecuzione e predisposizione delle valutazioni di impatto privacy.
Poiché le previsioni dell’art. 35 del GDPR, relativo alla DPIA, possono essere ricondotte, in qualche modo, ai requisiti della ISO/IEC 29134, molti software o tool si sono ispirati a questa norma, anche solo per il fatto che essa è l’unica linea guida standard sul privacy impact assessment, e per il fatto che ha definito sin dal principio che la valutazione di impatto privacy è un processo, e non un adempimento formale e documentale fine a se stesso.
Tuttavia, a parere dello scrivente è doveroso far notare che non tutte le fattispecie della valutazione di impatto privacy del GDPR possono essere ricondotte ai requisiti della norma ISO/IEC 29134; ad esempio, quest’ultima non considera la valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; né traccia specifiche indicazioni per valutare i rischi per i diritti e le libertà degli interessati, come previsto dall’art. 35 del GDPR.
La norma ISO/IEC 29134 dedica i paragrafi fondamentali, il 5, il 6 e il 7, rispettivamente a:
- preparazione delle basi per il Privacy Impact Assessment;
- linee guida sulla conduzione del processo di valutazione di impatto;
- risultanze e report del privacy impact assessment.
I paragrafi sono, al loro interno, ulteriormente articolati e dettagliati, soprattutto per la parte di follow up (trattamento dei rischi), includendo requisiti per individuare gli owner dei processi di trattamento dei rischi e modalità di reporting, volte a coinvolgere le figure apicali del Titolare del trattamento. Questo aspetto inerente i ruoli e responsabilità, e le relative decisioni finali, e il riesame da parte del Titolare del trattamento, è utile nell’inquadrare le previsioni dell’art. 35.
Molti esperti di normazione standard, tuttavia, non amano questa norma, che sebbene abbia avuto l’indiscutibile pregio di fornire riferimenti sulle modalità di conduzione del processo di valutazione, risulta in alcune parti poco attenta al trattamento di dati personali in questione, e quindi non coerente; ma facciamo qualche esempio.
Nel paragrafo 6.4.4.1 sull’identificazione dei rischi privacy, la norma invita a considerare altri aspetti sulla sicurezza del trattamento oltre ai casi di distruzione, perdita, modifica, divulgazione non autorizzata delle informazioni riferite agli interessati; non soltanto va valutato l’impatto derivante dalla perdita di una o più delle caratteristiche della sicurezza delle informazioni, ossia riservatezza, integrità e disponibilità, che rappresenta la gravità del danno diretto o indiretto causato agli interessati: dovrebbero essere considerati altri fattori relativi alla trasparenza e consapevolezza, e al rispetto di principi applicabili ai trattamenti di dati personali, e ritrovabili fra quelli previsti dal GDPR come fondamentali.
Questo è, a parere dello scrivente, il punto più “nobile” della norma, perché mette al centro le persone.
Infatti, nei modelli di DPIA che ho realizzato e che in genere utilizzo, per la determinazione del livello di impatto utilizzo una tabella come quella che segue e che consente di individuare quali sono le possibili conseguenze per gli interessati in riferimento al trattamento analizzato:
| Rischio | Conseguenze | Principi/proprietà a rischio |
| Perdita di dati; | [specificare] | Disponibilità, Riservatezza |
| Distruzione non autorizzata di dati; | [specificare] | Disponibilità, Integrità |
| Modifiche indesiderate o non autorizzate ai dati; | [specificare] | Integrità |
| Divulgazione non autorizzata di dati personali; | [specificare] | Riservatezza |
| Accesso illegittimo o non autorizzato ai dati; | [specificare] | Riservatezza, Integrità |
| Eccessiva raccolta di dati personali; | [specificare] | Adeguatezza, pertinenza, limitata finalità |
| Collegamenti o raffronti inappropriati o non autorizzati a dati personali; | [specificare] | Adeguatezza, pertinenza, limitata finalità |
| Mancata considerazione dei diritti degli interessati (mancanza di trasparenza) | [specificare] | Liceità, correttezza e trasparenza |
| Trattamenti di dati personali senza la idonea conoscenza e il consenso (quando necessario) degli interessati | [specificare] | Liceità, correttezza e trasparenza |
| Divulgazione o riuso per finalità diverse dei dati personali senza la consapevolezza e/o il consenso degli interessati | [specificare] | Liceità, correttezza e trasparenza; Adeguatezza, pertinenza, limitata finalità |
| Conservazione immotivamente prolungata dei dati personali | [specificare] | Limitazione della conservazione |
Tabella 1 – Valutazione d’impatto privacy e ISO 29134: determinazione impatti per gli interessati.
Nella Tabella 1 ho tradotto, in sostanza, gli altri aspetti che la ISO/IEC 29134 invita a considerare oltre ai classici (accesso illegittimo ai dati, modifiche indesiderate ai dati, perdita di dati). Si dovrebbero infatti considerare, nella DPIA, conseguenze derivanti anche da rischi non propriamente correlati alla “sicurezza” dei dati trattati (ad esempio, si pensi a informazioni agli interessati non pienamente comprese o alla mancanza di consapevolezza sul riuso dei dati, sui tempi di conservazione ecc. che hanno assolutamente degli impatti per i diritte e le libertà delle persone).
Le conseguenze per gli interessati dovrebbero essere il vero fulcro della valutazione di impatto privacy; infatti in altre metodologie le possibili conseguenze vengono ulteriormente dettagliate, insieme al flusso delle operazioni di trattamento. La CNIL nella sua metodologia per la valutazione di impatto ha provato ad elencare una lista di possibili conseguenze, che vanno da un disagio e un senso di fastidio a impatti concreti, discriminazione, perdite di opportunità economiche o professionali, conseguenze per la salute, fino a danni irreparabili e gravissimi.
Questa tabella (tradotta in italiano dallo scrivente) categorizza le possibili conseguenze per tipo di impatto (psicologico, materiale, fisico) e per gravità.
Dunque, nella 29134 troviamo spunti interessanti che ampliano il paradigma classico denominato RID (riservatezza, integrità e disponibilità); peccato però che, dopo questo importante suggerimento, la norma ISO/IEC 29134 si concentri, per l’analisi delle vulnerabilità e la stima dei rischi, praticamente soltanto sugli assets per preparare il trattamento dei rischi.
Infatti, nel proseguimento della gestione del processo non si fa poi più alcuna menzione degli aspetti di rischio suggeriti, come si può dedurre anche dall’Annex B della norma (quello sulle minacce generiche, molto utilizzato come riferimento).
Per comodità, rappresento di seguito una traduzione (non ufficiale, realizzata dallo scrivente) delle categorie di minacce della 29134.
| CATEGORIA | AZIONE | RISCHIO PRIVACY | ESEMPIO DI MINACCE |
| Hardware | Uso anomalo | Perdita dei dati | Archiviazione di informazioni, uso personale |
| Hardware | Uso anomalo | Accesso illegittimo ai dati | Utilizzo di USB flash drives o dischi che non sono idonei alla sensibilità delle informazioni; uso o trasporto di dispositivi sensibili per fini personali etc. |
| Hardware | Danni fisici/materiali | Perdita dei dati | Allagamenti, incendi, atti vandalici; danni fisici/materiali da eventi naturali o malfunzionamenti di dispositivi di memorizzazione, etc. |
| Hardware | Intercettazione (umana/tecnologica) | Accesso illegittimo ai dati | Sbirciare lo schermo/passwords di persone, origliare, scattare foto di uno schermo, geolocalizzare dispositive, rilevamento di segnali elettromagnetici, etc. |
| Hardware | Perdita | Perdita dei dati | Furto di laptop o smartphones, smaltimento non controllato di hardware o dispositive, etc. |
| Hardware | Perdita | Accesso illegittimo ai dati | Furto di un pc portatile in una stanza d’albero, furto di smartphone aziendale da parte di un borseggiatore, recupero di dispositive di memorizzazione o di hardware; smarrimento di un dispositivo elettronico, etc. |
| Hardware | Modifica | Perdita dei dati | Aggiunta di hardware in compatibile che comporta malfunzionamenti; rimozione di component essenziali per l’operatività dei sistemi, etc. |
| Hardware | Modifica | Accesso illegittimo ai dati | Tracciamento da parte di un keylogger basato su hardware; rimozione di component; connessione di dispositive (es. USB) che lanciano sistemi operativi o acquisiscono o modificano dati, etc. |
| Hardware | Modifica | Modifiche indesiderate ai dati personali | Aggiunta di hardware incompatibile che provoca malfunzionamenti; rimozione di component essenziali per il corretto funzionamento di applicazioni, etc.. |
| Hardware | Sovraccarico | Perdita dei dati | Dispositivi di memorizzazione (es. Dischi) pieni; sbalzi di corrente, sovraccarico delle capacità dei processori; surriscaldamento, temperature eccessive, etc. |
| Hardware | Perdita di dischi rigidi | Accesso illegittimo ai dati | Procedure di smaltimento o contratti di manutenzione superficiali o inidonei possono configurare accesso non autorizzato a dati personali. |
| Software | Uso anomalo | Perdita dei dati | Cancellazione di dati; uso di software copiato o contraffatto; errore di cancellazione dati da parte degli operatori |
| Software | Uso anomalo | Accesso illegittimo ai dati | Scansioni di contenuti; riferimenti incrociati illeciti; abuso di privilegi sui dati; cancellazione delle trace di utilizzo; invio di spam mediante un software e-mail; uso non corretto di funzioni di rete, etc. |
| Software | Uso anomalo | Modifiche indesiderate ai dati personali | Modifiche indesiderate alle informazioni nei database; cancellazione di files necessary per il corretto funzionamento di software; operatori che modificano dati, etc. |
| Software | Danni fisici/materiali | Perdita dei dati | Cancellazione di programmi eseguibili o di codice sorgente; bombe logiche, etc. |
| Software | Intercettazione (umana/tecnologica) | Accesso illegittimo ai dati | Scanning di indirizzi e porte di rete; raccolta di dati di configurazione; analisi di codice sorgente per individuare vulnerabilità e falle nei sistemi; test di come I database rispondano a queries di attacco deliberato, etc. |
| Software | Intercettazione (umana/tecnologica) | Accesso illegittimo ai dati | Scanning di indirizzi e porte di rete; vulnerabilità di attacco nell’ascolto, analisi e reporting delle porte e dei servizi. |
| Software | Perdita | Perdita dei dati | Licenze del software usato per l’accesso ai dati non rinnovate, etc. |
| Software | Modifica | Perdita dei dati | Errori durante aggiornamenti, configurazione o manutenzione; infezioni da malware; sostituzione di componenti, etc. |
| Software | Modifica | Accesso illegittimo ai dati | Tracciamento da keylogger software-based; infezioni da malware; installazione di tools di Amministrazione remota; sostituzione di componenti o parti del software, etc. |
| Software | Modifica | Modifiche indesiderate ai dati personali | Errori durante aggiornamenti, configurazione o manutenzione; infezioni da malware; sostituzione di componenti, etc. |
| Software | Sovraccarico | Perdita dei dati | Eccedenze nelle dimensioni del database; iniezioni di dati fuori dall’intervallo normale dei valori, etc. |
| Mezzi di comunicazione informatica | Danni fisici/materiali | Perdita dei dati | Taglio dei cavi di rete; segnale Wi.-Fi non sufficiente, etc. |
| Mezzi di comunicazione informatica | Intercettazione (umana/tecnologica) | Accesso illegittimo ai dati | Intercettazione di traffic Ethernet; acquisizione di dati trasmessi in una rete Wi-Fi, etc. |
| Mezzi di comunicazione informatica | Perdita | Perdita dei dati | Furto di cavi di rame, etc. |
| Mezzi di comunicazione informatica | Modifica | Modifiche indesiderate ai dati personali | Attacchi “Man-in-the-middle” o “Man in the browser” per modificare o aggiungere dati al traffic di rete; attacchi replay (reinvio di dati intercettati), etc. |
| Mezzi di comunicazione informatica | Sovraccarico | Perdita dei dati | Uso improprio di banda; download non autorizzati; perdita di connettività Internet, etc. |
| Persone | Uso anomalo | Accesso illegittimo ai dati | Influenze (phishing, social engineering, corruzione, etc.); pressioni (ricatti, molestie psicologiche, etc.), etc. |
| Persone | Uso anomalo | Modifiche indesiderate ai dati personali | Influenze (pettegolezzi, disinformazione, etc.), etc. |
| Persone | Danni fisici/materiali | Perdita dei dati | Infortunio sul lavoro; malattia professionale; oltri infortuni o malattie; morte; indisposizione neurologica, psicologica o psichiatrica, etc. |
| Persone | Intercettazione (umana/tecnologica) | Accesso illegittimo ai dati | Divulgazione non intenzionale di informazioni nei colloqui; uso di dispositive di ascolto per origliare o registrare di nascosto negli incontri, etc. |
| Persone | Perdita | Perdita dei dati | Riassegnazione ruoli; termine o cessazione per interruzione di contratti; subentro di tutta o parte dell’organizzazione, etc. |
| Persone | Perdita | Accesso illegittimo ai dati | Soffiare il personale ad un’altra organizzazione; cambi di mansione; subentro di tutta o parte dell’organizzazione, etc. |
| Persone | Sovraccarico | Perdita dei dati | Carichi di lavoro eccessivi, stress o cambiamenti negative nelle condizioni lavorative; assegnazione di compiti al personale oltre le loro capacità; uso insufficiente di competenze, etc. |
| Persone | Sovraccarico | Modifiche indesiderate ai dati personali | Carichi di lavoro eccessivi, stress o cambiamenti negative nelle condizioni lavorative; assegnazione di compiti al personale oltre le loro capacità; uso insufficiente di competenze, etc. |
| Documenti cartacei | Danni fisici/materiali | Perdita dei dati | Invecchiamento o deterioramento dei documenti archiviati; documenti bruciati durante un incendio, etc. |
| Documenti cartacei | Intercettazione (umana/tecnologica) | Accesso illegittimo ai dati | Leggere, fotocopiare, fotografare, etc.; |
| Documenti cartacei | Perdita | Perdita dei dati | Furto di documenti; perdita di documentazione durante spostamenti; smaltimento, etc. |
| Documenti cartacei | Perdita | Accesso illegittimo ai dati | Furto di documenti dagli uffici; furto dalle cassette postali; recupero dati da documenti gettati via, etc. |
| Documenti cartacei | Modifica | Modifiche indesiderate ai dati personali | Cambio di ciifre in un document, sostituzione di un document originale con una copia falsificata, etc. |
| Documenti cartacei | Sovraccarico | Perdita dei dati | Cancellazione graduale nel tempo; cancellazione volontaria di porzioni di documenti, etc. |
| Canali di trasmissione documentazione cartacea | Danni fisici/materiali | Perdita dei dati | Interruzione di un flusso autorizzativo dovuto ad una riorganizzazione; consegna di posta interrotta da sciopero, etc. |
| Canali di trasmissione documentazione cartacea | Intercettazione (umana/tecnologica) | Accesso illegittimo ai dati | Lettura di libri firma in circolazione; riproduzione documenti in transito, etc. |
| Canali di trasmissione documentazione cartacea | Perdita | Perdita dei dati | Eliminazione di un processo a seguito di una riorganizzazione; perdita di un fornitore di consegna documenti, etc. |
| Canali di trasmissione documentazione cartacea | Modifica | Perdita dei dati | Modifiche a come la posta viene smistata. Riorganizzazione dei sistemi di trasmissione documentazione cartacea; cambio di lingua ufficiale o lavorativa, etc. |
| Canali di trasmissione documentazione cartacea | Modifica | Modifiche indesiderate ai dati personali | Modifiche a una nota senza che l’autore ne sia a conoscenza; cambio da un libro firma ad un altro; invio di più documenti in conflitto tra loro, etc. |
| Canali di trasmissione documentazione cartacea | Sovraccarico | Perdita dei dati | Quantità di posta eccessiva; processo di validazione sovraccarico, etc. |
Tabella 2 – Traduzione della tabella “Generic Threats” – Annex B della ISO/IEC 29134.
L’apporto di altre norme nel processo di valutazione d’impatto
Ma possono altre pubblicazioni e norme tecniche essere usate come riferimento nella DPIA?
Sicuramente sì. Diverse Autorità di Controllo (es. ICO, CNIL) hanno pubblicato specifiche linee guida e tools (fra tutti, il PIA Tool del CNIL, tradotto in molte lingue e utilizzatissimo anche in Italia grazie al lavoro di traduzione dell’Autorità Garante, che dedica alla DPIA anche un’apposita area tematica sul sito web).
Inoltre, diverse metodologie proprietarie sono basate su valutazione dei rischi che fanno riferimento alle norme standard (es. ISO 31000, ISO/IEC 27005), ad esempio.
Lo schema di valutazione ISDP10003:2018, specifico per il GDPR, dedica adeguata attenzione alla valutazione di impatto nei requisiti di conformità, assegnandole un intero macro-processo, l’A6, con punti di controllo assolutamente coerenti con i requisiti del GDPR.
Più in generale, l’utilizzo delle norme tecniche si ritrova negli aspetti relativi ai contenuti della documentazione a supporto del processo (è un processo documentato, questo non bisogna dimenticarlo).
Infatti, il requisito dei contenuti della DPIA di cui all’Art. 35 p. 7 c):
“una valutazione dei rischi per i diritti e le libertà degli interessati”;
e quello del p. 7 d):
“le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”,
ben si prestano a riferirsi a molti punti di controllo delle norme tecniche.
Il considerando 76 del GDPR vorrebbe addirittura che il rischio venisse “considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato”.
Darsi una metodologia il più possibile oggettiva, ripetibile, in grado di mantenere la coerenza e le relazioni d’ordine con altre valutazioni è tutt’altro che semplice.
Qui gli standard possono aiutare, ma per la valutazione di impatto solo fino ad un certo punto.
In sostanza, se è vero che per la valutazione dei rischi è obbligo individuare gli asset a supporto del trattamento (ma anche i processi di rispetto dei principi applicabili al trattamento) e valutare minacce, vulnerabilità, e individuare le misure di mitigazione dei rischi specifiche, la valutazione di impatto prevede ragionamenti ulteriori, come abbiamo visto.
Le norme tecniche, comunque, sono di fondamentale supporto, anche perché l’accountability richiesta dal GDPR prevede espressamente una governance dei processi.
I punti di controllo dell’Annex A della ISO/IEC 27001:2013, argomentati nella ISO/IEC 27002:2013 (una raccolta di “best practice” che possono essere adottate per applicare i controlli e soddisfare i requisiti della 27001 al fine di proteggere gli assets informativi), coprono molti ambiti operativi della governance per la Information security.
Nel 2017, nell’ambito della famiglia di norme 29000 specifiche per la privacy, un’altra Codice di buone pratiche, la ISO/IEC 29151 ha esteso l’ambito dei punti di controllo inserendone altri specifici per il rispetto degli 11 principi del framework 29100:
- libera scelta e consenso;
- finalità, legittimità e specificità;
- limitazione della raccolta;
- minimizzazione dei dati;
- limitazione dell’uso, conservazione e divulgazione;
- accuratezza e qualità;
- apertura, trasparenza e informativa;
- partecipazione e accesso individuale;
- accountability;
- information security;
- compliance privacy.
Nel 2019, la norma ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines ha ulteriormente esteso i controlli per realizzare, nell’ambito di un Sistema di Gestione per la Sicurezza delle informazioni (ISMS o, in italiano, SGSI) un PIMS – Personal Information Management System), un Sistema di Gestione per I dati personali.
Esistono anche importanti documenti di riferimento italiani, fra i quali è doveroso segnalare:
- la UNI/PdR 43.1:2018 – Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) – Gestione e monitoraggio dei dati personali in ambito ICT;
- la Framework Nazionale per la Cybersecurity e la Data Protection;
- le Misure minime di sicurezza ICT per le pubbliche amministrazioni emanate dall’AgID (Agenzia per l’Italia digitale).
Ovviamente, non va dimenticato lo schema di valutazione per la conformità al GDPR ISDP10003:2018 citato in precedenza.
Ora, con tante norme a fornire strumenti di controllo delle operazioni per la sicurezza e a fornire prassi, spesso, per gli stessi processi, c’era da aspettarsi un proliferare di strumenti di mappature dei controlli fra i diversi documenti tecnici, e in alcuni casi con gli articoli del GDPR.
In alcuni modelli, come quelli del NIST, del Framework Nazionale per la Cybersecurity e la Data Protection italiano (che deriva dalla framework Nist) e le Misure minime AgID, le mappature con altri riferimenti sono previste espressamente, proprio per “rafforzare” l’importanza del punto di controllo.
Ecco un esempio:
| FUNCTION | IDENTIFY (ID) | |
| CATEGORY | Risk Assessment (ID.RA) | |
| SUBCATEGORY | ||
| DP-ID.RA-7: Viene effettuata una valutazione di impatto sulla protezione dei dati personali. | ||
| CONTROLLI | RIFERIMENTI GDPR | |
| DP-ID.RA-7-01: Qualora un tipo di trattamento di dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento, consultato il responsabile della protezione dei dati, effettua una valutazione dell’impatto sulla protezione dei dati personali. | Art. 35(1-5) | |
| DP-ID.RA-7-02: Il titolare del trattamento si assicura che la valutazione d’impatto contenga quanto previsto dal Regolamento. | Art. 35(7) | |
| DP-ID.RA-7-03: Il titolare del trattamento, nell’effettuare la valutazione d’impatto sulla protezione dei dati personali, tiene conto del rispetto dei codici di condotta e, se del caso, delle opinioni degli interessati o dei loro rappresentanti sul trattamento. | Art. 35(8), (9) | |
| DP-ID.RA-7-04: Il titolare del trattamento procede ad un riesame della valutazione di impatto con cadenza periodica e qualora insorgano variazioni del rischio rappresentato dalle attività relative al trattamento. | Art. 35(11) | |
| DP-ID.RA-7-05: Qualora la valutazione di impatto sulla protezione dei dati personali indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate per attenuare il rischio, il titolare del trattamento consulta l’autorità di controllo. | Art. 36(1), (3) | |
Tabella 3 – Controllo DP-ID-RA-7 del Framework Nazionale per la Cybersecurity e la Data Protection.
Nella fase di valutazione dei rischi all’interno del processo di DPIA, dunque, il costante rimando ai riferimenti standard è diventato molto comune.
Attenzione, però. Il trattamento e le conseguenze per le persone vanno analizzati in modo specifico! Le misure di mitigazione dei rischi individuati devono essere contestualizzate all’attività di trattamento oggetto di esame, e non generiche.
Ecco perché si suggerisce sempre di ragionare, fatto salvo l’ausilio di cataloghi di minacce e vulnerabilità di riferimento, sugli eventi dannosi effettivamente applicabili, e sulle misure realmente applicate per ridurre il livello di rischio.
Poi, per l’ottimizzazione dei processi, potremo anche usare riferimenti di prassi standard; infatti il presidio dei controlli è un aspetto di governo delle misure di mitigazione molto importante, e i riferimenti alle norme tecniche contribuiscono alla dimostrazione di aver implementato le misure in modo efficace.
D’altro canto, l’opportunità di poter spiegare, nel report di Valutazione di impatto, che la governance viene eseguita con certe misure, perché lo raccomandano i controlli A, B, C delle norme X, Y, Z è un elemento di accountability non irrilevante, perché attesta che sono state acquisite e considerate le migliori prassi standard.
Quali prassi utilizzare, fra le tante?
Ovviamente, non esistono regole. È necessario sicuramente considerare il contesto dell’attività di trattamento oggetto di Valutazione di impatto, l’ambito di eventuale pubblicazione e traduzione dei documenti eccetera.
Ad esempio, per giustificare meglio le misure di mitigazione applicate (in modo specifico) per ridurre il rischio, si può utilizzare un self-assessment “di governo” per giustificare con maggior dettaglio il rischio residuo.
Si immagini di poter assegnare un livello di adeguatezza alle seguenti famiglie di controlli dove i valori sono:
- Inadeguato
- Parzialmente adeguato
- Quasi adeguato
- Adeguato
Una tabella come quella rappresentata di seguito evidenzia, ad esempio, che si rilevano mancanze nella gestione (applicazione non è pienamente conforme, es. per errori formali o sostanziali ancora presenti, o perché non sono state condotte verifiche di efficacia e audit).
| Controllo (Rif. GDPR – ISO/IEC 27001/29151/27701 e ISDP10003:2018) | Valutaz. | NOTE E GIUSTIFICAZIONI |
| Art. 37 38 39 GDPR / ISDP10003 A.2.4 / Designazione, Ruolo e Compiti del Responsabile della protezione dati | 4 | [Es. è stato designato l’RPD e sono documentate le scelte compiute per l’individuazione della necessità e i criteri di valutazione e selezione; sono altresì formalizzati i compiti e gli ambiti di operatività, e risultano evidenze dell’operato dell’RPD] |
| 27001 A.10 / 29151 A.10 / Art. 32 GDPR / ISDP10003 A.5.4 / Misure di sicurezza – pseudonimizzazione e/o cifratura dei dati personali | 3 | |
| 27001 A.9 – A.10 – A.11 – A.12 – A.15 – A.17 / 29151 A.9 – A.10 – A.11 – A.12 – A.15 – A.17 / Art. 32 GDPR / ISDP10003 A.5.3 / 27701 A.7.4 – A.7.2.6 – A.7.2.5 / Misure di sicurezza – generale capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento | 3 | |
| 29151-A.6 – A.7 / 27701 – A.7.4.1 e A.7.4.2 / ISDP10003 A.3.1 / Limitazione della raccolta dati e minimizzazione | 3 | |
| 29151-A.4.1 – A.4.2 / 27701 A.7.2.1. – A.7.2.2 – A.7.3.1 / ISDP10003 A.3.2 / Applicazione della Legittimità e Specifica delle finalità | 4 | |
| 29151-A.9.1 – A.9.2 / 27701 – A.7.3.2 – A.7.3.3 / ISDP10003 A.3.3 / Informative trasparenti e comprensibili – Trasparenza | 3 | |
| 29151 A.3.1 – A.3.2 / 27701 A.7.3.4 / ISDP10003 A.3.2 / Raccolta e gestione dei consensi | NA | |
| 29151 A.7.1 / 27701 A.7.4.4 – A.7.4.5 – A.7.4.6 – A.7.4.7 – A.7.4.8 – A.7.4.9 / ISDP10003 A.3.5 / Limitazione dell’uso, conservazione e divulgazione | 3 | |
| 29151 A.10 / 27701 A.7.3 / ISDP10003 A.3.4 / Gestione dell’esercizio dei diritti degli interessati | 3 | |
| 29151 A.8 / 27701 A.7.4.3 / ISDP10003 A.3.1 / Accuratezza e Qualità dei dati personali | 3 | |
| 27001 A.05 – A.18 / 29151 A.2 – A.5 / Art. 32 GDPR / 27701 A.7.2 – A.7.4 / ISDP10003 A.1.1 – A.4.1. A.5.1. A.5.3 / Politica e Procedure per la sicurezza delle informazioni (Istruzioni documentate per la sicurezza e la protezione dati), inclusa una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento | 3 | |
| 27001 A.06 – A.15 / 29151 A.06 – A.11 – A.15 / ISDP10003 A.2.1 – A.2.2. / Ruoli e responsabilità per la sicurezza delle informazioni (Organigramma, Istruzioni e policy specifiche per la protezione dei dati personali, Vincoli di riservatezza, separazione dei compiti per evitare conflitti di interesse, Autorizzazioni ai dati personali) | 3 | |
| 27001 A.08 / 29151. A.8 / Gestione degli asset (Censimento, manutenzione, aggiornamenti e monitoraggio dei sistemi di elaborazione – servers – workstations – dispositivi mobile) | 4 | |
| 27001 A.9 – A.12 / 29151 A.12.1 A.13 / ISDP1003 A.4 / Procedure operative e responsabilità del personale IT – Procedure documentate per la gestione delle responsabilità dei Sistemi, e per gestire le attività di sviluppo, test e cambiamenti | 3 | |
| 27001 A.15 / 29151-A.11.3-ADD / ISDP1003 A.2.3 – A.7.2 / Relazione con i fornitori (clausole contrattuali con processors e subprocessors, diritti di audit, diritto ad acquisire documenti ed evidenze a garanzia dei trattamenti affidati) | 3 | |
| 27001 A.16 / 29151-A.7.3 / ISDP10003 A.5.2 / 27701 Section 6 PIMS-specific guidance related to ISO/IEC 27002 / Gestione degli incidenti relativi alla sicurezza delle informazioni (Procedure per la gestione degli incidenti e data breach conosciute da autorizzati e processors, distribuzione moduli e/o strumenti per la segnalazione e Registro Incidenti) | 3 | |
| 27001 A.17 / 29151 A.17 / ISDP1003 A.5.4 / Art. 32 GDPR / Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa (Business continuity Plan, Politica per i livelli di servizio e assegnazione dei compiti in caso di interruzione o indisponibilità, eventuale sito di disaster recovery) o altre misure per dimostrare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico | 3 | |
| 27001 A.7 / 29151 A.11.1 / ISDP1003 A.5.4 / Art. 28-29 GDPR / Sicurezza delle risorse umane (Vincoli di riservatezza e autorizzazioni documentate, Istruzioni e verifica del rispetto delle procedure) | 3 | |
| 27001 A.07.02.02 / 291591 A.11.5 / ISDP1003 A.5.3 / Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni (sensibilizzazione continua di dipendenti e collaboratori, formazione e informazione, verifica della comprensione delle istruzioni ricevute) | 3 | |
| 27001 A.09 / 29151 A.12 / ISDP1003 A.5.2 – A.5.3 – A.5.4 / Controllo degli accessi ai sistemi per il trattamento dati (Gestione delle credenziali di accesso univoche, politica di password complesse e dove necessario autenticazione a due fattori, profili di autorizzazione ai soli dati di pertinenza (Applicazione del principio del need to know e segregation of duty, (indispensabilità e necessità, separazione)) | 3 | |
| 27001 A.12.04 / ISDP1003 A.5.2 – / Raccolta dei log e monitoraggio (files di registro attivati per ogni sistema / applicazione utilizzata per il trattamento dei dati personali (visualizzazione, modifica, cancellazione) sia per gli operatori che per gli amministratori di reti, database e sistemi | 3 | |
| 27001 A.12 / ISDP1003 A.5.2 – A.5.3 – A.5.4 / Sicurezza delle attività operative (tecniche di crittografia per supporti di memorizzazione (Postazioni e supporti esterni, pseudonimizzazione, query sicure sul db) | 3 | |
| 27001 A.14.01 / ISDP1003 A.5.2 – A.5.4 / Requisiti di sicurezza dei sistemi informativi (gestione privilegi sulle workstation, antivirus e aggiornamenti di sicurezza, vincoli sui supporti removibili, auditing dei trasferimenti di dati) | 3 | |
| 27001 A.13 / ISDP1003 A.5.2 – A.5.4 / Sicurezza delle comunicazioni (Navigazione Internet controllata, Firewall, protocolli SSL/TSL, Wireless protette, accessi VPN idoneamente protetti e controllati periodicamente) | 3 | |
| 27001 A.12.03 / ISDP1003 A.5.2 – A.5.4 / Backup (Politiche e procedure documentate, Salvataggi Registri dei backup e dei test di ripristino, dati backup crittografati e conservati in luogo diverso) | 3 | |
| 27001 A.06.02 / Dispositivi portatili e telelavoro (Politica mobile devices, BYOD, ruoli e responsabilità definiti e documentati, crittografia per devices che accedono a sistemi IT) | 3 | |
| 27001 A.12.6 / Gestione delle vulnerabilità tecniche 27001 A.14.2 / Sicurezza nei processi di sviluppo e supporto (gestione del ciclo di vita dello sviluppo e dei sistemi, valutazione vulnerabilità e aggiornamenti, patch, verifica sistemi aperti al web, penetration test) | 3 | |
| 27001 A.08.03.02 / Dismissione dei supporti 27001 A.11.02.07 / Dismissione sicura o riutilizzo delle apparecchiature (Procedura documentata per la distruzione controllata e sicura dei documenti cartacei e per la cancellazione sicura dei dati con smagnetizzazione o altre tecniche; affidamento a responsabile esterno con attività supervisionate e certificate) | 3 | |
| 27001 A.11 / ISDP1003 A.5.2 – A.5.3 / Sicurezza fisica e ambientale (Le aree ed i locali sono controllati per l’accesso sia al personale che per gli esterni, e protetti con sistemi anti-intrusione, e i criteri di sicurezza e di controllo accessi vengono periodicamente revisionati) | 3 |
Tabella 4 – Esempio punti di controllo con riferimenti per self-assessment di governance
Nell’esempio della tabella, lo scrivente ha deliberatamente scelto di non selezionare controlli specifici di questa o quella norma, considerando invece “Famiglie” di controlli quali ambiti di governo applicabili ai processi di gestione dei trattamenti di dati personali, indicando i riferimenti incrociati alla 27001/29151/27701 e ISDP10003.
Tale scelta, e le modalità con le quali il self-assessment incida nella stima del livello di rischio residuo, deve essere ovviamente documentata nel Report di valutazione di impatto; così come eventuale ricorso ad altri riferimenti (pubblicazioni CNIL, cataloghi e norme ecc.)
Conclusioni
Le norme tecniche, gli schemi di valutazione, le linee guida e le pubblicazioni tecniche sulla sicurezza delle informazioni e sulle tecniche di protezione dati costituiscono senz’altro riferimenti che aiutano a condurre il processo di valutazione di impatto per la protezione dati con elementi di oggettività che possono aiutare sia chi partecipa al processo di valutazione, sia chi ne deve verificare le risultanze.
La norma standard ISO/IEC 29134, Linee guida per il privacy impact assessment, sebbene nata nella framework ISO 29000 con focus sulle informazioni riferite alle persone, non è idonea a soddisfare tutti i requisiti dell’art. 35 del GDPR; ciò nonostante, è uno dei principali strumenti tecnici che forniscono indicazioni per la conduzione del processo di valutazione di impatto.
Offre spunti interessanti, ma presenta anche alcune contraddizioni.
Abbiamo visto che anche altre norme tecniche, alcune delle quali piuttosto recenti, possono essere utili per i necessari presidi di controllo che garantiscano l’efficacia delle misure di mitigazione adottate per ridurre il livello di rischio che, come abbiamo visto, nella DPIA è elevato già in partenza.
Strumenti utilissimi, dunque, il cui utilizzo ha però come prerequisito un’adeguata conoscenza della documentazione, che si ottiene con impegno a letture non sempre “digeribilissime”.
Andrebbe dunque sfatata che le norme tecniche siano delle “checklist standard pronte per l’uso”; per l’applicazione alla delicata materia della protezione dati, c’è da molto da studiare, al fine di ottenere strumenti di governance efficaci e soprattutto calati sull’attività di trattamento oggetto di valutazione.
