LA GUIDA PRATICA

Verifiche in ambito privacy, dalle check list ai sistemi esperti: strumenti e consigli pratici

L’uso combinato di strumenti e metodologie adeguate nelle verifiche in ambito privacy, oltre a specifiche competenze, consente di formulare valutazioni di conformità corrette che non espongano i titolari del trattamento a potenziali sanzioni. Ecco un possibile approccio operativo

13 Mar 2020
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security


Parlando di verifiche in ambito privacy è importante evidenziare le insidie nello svolgere attività di questo tipo senza utilizzare adeguati strumenti di supporto e come, grazie all’uso della IA, sia ipotizzabile realizzare applicazioni per una valutazione il più possibile condivisibile della conformità alla normativa.

Verifiche in ambito privacy: le check list non bastano

Il GDPR richiede espressamente ai Titolari di essere in grado di dimostrare in ogni momento la propria conformità ai requisiti normativi e le attività di verifica sono fra quelle che possono aiutare a questo scopo.

Inoltre l’attività di sorveglianza è fra quelle specificatamente previste per il DPO, che la vede fra i propri compiti principali.

Ecco quindi un proliferare di check list, spesso anche disponibili gratuitamente sul web, nonché di strumenti per lo svolgimento in forma più o meno automatizzata di verifiche o di self assessment (questi ultimi finalizzati, ad esempio, a soddisfare il requisito di controllo da parte di un Titolare nei confronti di un Responsabile).

Ma l’uso di tali strumenti è veramente utile ed efficace?

I problemi che si pongono nell’uso delle sole check list sono molteplici ed il loro uso può portare ad un falso senso di conformità e distogliere sia il Titolare sia gli auditor che li usano per compiere le proprie verifiche dalla corretta individuazione delle aree di maggiore non conformità in capo al Titolare di trattamento.

L’esecuzione di una verifica non può essere infatti basata sulla semplice compilazione di una check list, ma deve rifarsi ad una metodologia di audit articolata, complessa e completa.

Sono presenti check list ufficiali di alto livello come le Listado de cumplimiento normativo dell’AEPD (Autorità Garante spagnola).

Tali check list, o in generale check list di questo tipo, possono essere molto utili per avere una visione complessiva degli adempimenti posti in essere dal Titolare, ma non riescono a dare una reale visione di conformità su singoli ambiti.

Va inoltre considerato che anche a questo livello è necessario saper utilizzare adeguatamente lo strumento che si ha a disposizione.

Ad esempio, sempre per restare nell’ambito della check list proposta da AEPD, è evidente che quando si affronta l’argomento informative le domande presenti devono essere ripetute per ogni informativa realizzata dal Titolare, e che analogamente si deve procedere per quanto attiene, ad esempio, alle designazioni dei responsabili e per molti altri adempimenti.

Ecco quindi che anche questa check di alto livello, per quanto completa, deve essere arricchita dall’auditor con ulteriori domande, quali ad esempio: il Titolare ha redatto un’informativa per ogni categoria di interessato/finalità?

È quindi necessario integrare l’uso delle check list con altri strumenti: ad esempio, una tabella che contenga l’elenco delle informative censite, che deve essere confrontata quantomeno con il registro delle attività di trattamento (dal quale dovrebbero derivare sia le tipologie, sia il contenuto delle singole informative) e che consente di abbinare ad ogni informativa la relativa check list di verifica.

Anche da questo semplice esempio si desume come l’uso di strumenti on line o applicazioni rigidamente impostate non si addicono alla verifica nel contesto di una normativa che si cala dinamicamente sulle singole realtà: è quindi sempre necessaria una personalizzazione, anche per le semplici check di livello alto.

Anche ad alto livello la verifica va quindi costruita e personalizzata sul singolo caso, dopo avere raccolto ed esaminato quantomeno la documentazione prodotta dal Titolare.

Non va inoltre dimenticato che la check list deve essere utilizzata quale strumento di sintesi, in quanto riporta gli esiti di un’analisi che deve essere effettuata con altri strumenti di verifica, quali ad esempio una intervista.

Diverso è il caso della verifica della conformità formale di un’informativa, dove chi sta effettuando l’audit può riscontrare con facilità se il contenuto della medesima corrisponde ai requisiti di legge, rispetto ad esempio ad una verifica relativa alla corretta selezione e implementazione di una misura di sicurezza.

Anche per tale motivo non è corretto che il livello di granularità delle domande sia troppo diverso nei vari ambiti che si affrontano e che si trattino nello stesso modo domande di carattere generale ad altre di carattere più particolare; quindi le check list dovrebbero essere strutturate su livelli diversi fino, in alcuni casi, alla puntuale verifica, per restare nell’ambito della sicurezza, della configurazione di un firewall.

Anche la qualità, composizione, sviluppo di una check list sono importanti; ad esempio, non è corretto impostare una check list per avere solo risposte positive o negative, perché potrebbero esserci gradazioni nelle risposte. Ad esempio, la semplice domanda sul fatto che il Titolare abbia predisposto le informative potrebbe essere un “Si”, un “No”, ma anche “In parte”, eventualmente in questo caso con una indicazione di un valore che indichi il livello di copertura (ad esempio 5 su 20).

Va inoltre tenuto presente che la necessità di porre alcune domande potrebbe conseguire dalle risposte alle domande precedenti: quindi le check list dovrebbero potersi sviluppare secondo percorsi personalizzati.

Competenza ed esperienza nelle verifiche in ambito privacy

Lo strumento delle check list dovrebbe essere dunque utilizzato con “intelligenza” e per quello che è: una guida per lo svolgimento di un’attività di verifica che richiede un approccio più articolato e complesso.

LIVE STREAMING 4 giugno
Emergenza e attività in difficoltà? Affronta le nuove sfide con l'Intelligenza artificiale
Intelligenza Artificiale
Realtà virtuale

Come più volte ricordato nei precedenti articoli, questa attività richiede competenza ed esperienza e non solo una conoscenza, spesso molto superficiale, dell’argomento da verificare.

Viceversa, le check list sono spesso utilizzate proprio come surrogato di competenza, in particolare quando si utilizzano figure junior per svolgere un compito che in realtà richiede una specifica esperienza sul campo. Un uso acritico di una check list di domande, specie se realizzata da altri, è quanto di più lontano possa esistere da una vera verifica e può portare a risultati fuorvianti.

Le check list, inoltre, non necessariamente devono essere costituite da domande, o solo da domande.

Potrebbero comprendere semplicemente un elenco di punti da sviluppare e verificare attraverso le tecniche che sono più utili e congeniali al momento. La check list diventa quindi semplicemente un promemoria, un elenco di cose da controllare attraverso diversi strumenti di verifica: dall’intervista all’analisi dei documenti, a ulteriori check list sulle quali spuntare risposte precostituite o sulle quali annotare le risposte ricevute.

Non va infatti dimenticato che nel corso di una verifica bisogna essere pronti a cambiare completamente il percorso predefinito in quanto le informazioni raccolte potrebbero portare ad evidenziare aree di rischio in precedenza non sospettate.

Un ottimo esempio di check list di questo tipo, anche se non dedicata alle verifiche in ambito privacy, è la Lista di riscontro per la visita ispettiva AgID e la certificazione di conformità, disponibile sul sito dell’Italia Digitale, della quale si riporta uno stralcio esemplificativo nel quale si evidenziano i requisiti normativi (o di altro tipo) da verificare, la modalità con cui effettuare la verifica, i documenti che si devono esaminare (se esistono) nonché altri elementi da controllare.

Altri elementi che si potrebbero aggiungere per ogni requisito sono i documenti consultati, le evidenze emerse, le persone intervistate, i risultati delle interviste e via dicendo.

ID ID –

PROG.

COMPONENTE DEL REQUISITO ATTIVITA’ DI VERIFICA EVIDENZE DOCUMENTALI ELEMENTI DA CONTROLLARE
1 1 Il documento (ISPD – Information Security Policy Document) indirizza la protezione dei dati sulla base della loro criticità, valore e sensibilità rispetto al complessivo servizio di conservazione, definendo le politiche di alto livello, gli indirizzi da seguire e demandando alle specifiche procedure i dettagli per la loro attuazione.L’ispettore deve verificare che il documento ISPD descriva le modalità con cui viene valutata la criticità delle informazioni (information classification levels) rispetto al sistema di conservazione.

Le misure di protezione devono essere scelte in modo proporzionato ai differenti livelli di criticità: i dettagli delle misure di protezione devono essere demandati alla politica riguardante le procedure del sistema di conservazione.

Documentazione della

Politica di sicurezza delle informazioni (procedure, istruzioni)

ISPD;

2 Sono svolte le necessarie attività propedeutiche alla revisione periodica del documento (ad esempio il risk assessment), almeno annualmente ed è mantenuta traccia nel tempo delle modifiche effettuate al documento (versioning).L’ispettore deve verificare che eventuali modifiche all’ISP del sistema di conservazione siano registrate. In particolare deve verificare che:

  • la procedura di registrazione delle modifiche all’ISP sia definita nel Manuale di conservazione o nel Piano della Sicurezza, e che tale procedura sia disponibile;
  • esista un registro ove sono riportate le suddette modifiche;
  • (in caso di utilizzo di un sistema di versioning) tale sistema restituisca la versione attuale del documento ISP e che siano presenti le versioni precedenti e le modifiche che hanno portato alla versione attuale.
Manuale di

Conservazione

Documentazione della

Politica di sicurezza delle informazioni (procedure, istruzioni)

ISPD

Piano della sicurezza Registro delle modifiche all’ISPD

– log di eventuali strumenti informatici per la gestione della

documentazione

relativa all’ISPD del sistema di conservazione

3 Tutte le persone coinvolte nel processo di conservazione sono a conoscenza del documento, per le parti che possono essere condiviseL’ispettore deve eseguire, a campione, interviste al personale coinvolto nel processo di conservazione per verificare se il personale è a conoscenza del documento ISPD aggiornato (almeno per le parti pubbliche e per le parti di propria competenza).

Verifiche in ambito privacy: la valutazione

Un altro aspetto che spesso si trova negli strumenti reperibili online o in uso da parte di consulenti è la valutazione automatizzata della conformità.

Tramite tali strumenti si cerca di dare un peso ad ogni domanda e conseguentemente una valutazione complessiva di conformità in base alle risposte ricevute tramite qualche algoritmo impostato con regole autodeterminate (e quindi arbitrarie).

L’obiettivo di tali strumenti è ammirevole e condivisibile: si desidera rendere il più oggettiva possibile la valutazione di conformità indipendentemente dal soggetto che ha effettuato la verifica; del resto, questo è uno dei principi cardine delle attività di audit.

Il desiderio è quello di dare una parvenza di scientificità alla valutazione di conformità, ma in realtà gli algoritmi utilizzati, per quanto articolati, derivano comunque da una arbitraria interpretazione di chi li ha impostati.

Infatti, anche se i vari adempimenti privacy sono in linea di massima simili per tutti i Titolari, rivestono un peso molto diverso in funzione delle dimensioni aziendali, dei volumi di dati trattati, della pericolosità dei trattamenti, del numero di soggetti esterni che partecipano al trattamento e via dicendo.

In una valutazione complessiva di conformità il peso delle informative rispetto – ad esempio – alla corretta formulazione dei contratti di designazione di un soggetto esterno quale responsabile di trattamento, non può quindi essere un valore fisso e predeterminato.

A dire il vero diventa molto difficile definire anche puntualmente un peso personalizzato, motivo per cui è più opportuno esprimere singole valutazioni separate per ogni ambito di verifica analizzato.

Se si desidera comunque esprimere un giudizio complessivo, va ricordato che la valutazione della conformità di singoli adempimenti o sottoinsiemi di essi (ad esempio, di una singola informativa) è di norma di tipo qualitativo ed è tale anche se al posto di valori quali alto, medio o basso, si utilizzano dei numeri per esprimerlo.

Risulta pertanto azzardato, ad esempio, sommare fra di loro dei valori qualitativi: è più opportuno stabilire delle regole, condivise prima dell’inizio dell’attività di verifica, che descrivano complessivamente la metodologia di audit utilizzata e le modalità con cui verranno elaborate le valutazioni, sia quelle singole, sia quella complessiva. Il tutto senza pretendere di dare un carattere di scientificità alle valutazioni, presentando astrusi algoritmi.

Anzi, più complesse sono le metodologie di valutazione e più è facile alterare i singoli parametri, portando quindi, in presenza delle stesse evidenze oggettive, a valutazioni totalmente diverse. Personalmente diffido molto sia delle valutazioni automatizzate, sia da metodologie di audit troppo complesse.

Anche un adeguato metodo di valutazione può tuttavia portare ad una non corretta valutazione di conformità.

Uno dei motivi, già ampiamente illustrato nel precedente articolo Audit e GDPR: competenze e linee guida per svolgere correttamente le verifiche in ambito privacy, è legato al fatto che una verifica in ambito privacy è talmente articolata e complessa che può essere fatta in modo estensivo solo su realtà molto piccole e molto semplici.

Viceversa anche la valutazione di conformità di un documento simbolo della normativa privacy, quali è l’informativa, richiede una complessa ed articolata attività di verifica che deve spingersi ad analizzare e verificare, dopo aver valutato gli aspetti formali del documento, la reale corrispondenza del contenuto della stessa con la realtà (ad esempio in termini di gestione dei tempi di conservazione, con evidenze oggettive circa il loro trattamento nelle numerose casistiche che possono presentarsi, quali la loro cancellazione o anonimizzazione o inibizione del trattamento nel caso lo stesso dato sia utilizzato per finalità con tempi di conservazione differenziati…).

I sistemi neurofuzzy per le verifiche di conformità

Ma esiste qualche metodologia meno discrezionale che consente di effettuare una valutazione di conformità sia dei singoli punti di controllo, sia dell’intera verifica?

La risposta potrebbe essere positiva e va ricercata nell’applicazione alle attività di audit, ad esempio della logica fuzzy[1].

Come il nome porta ad intuire, la logica fuzzy è un settore della matematica che si occupa di logica sfumata, una modalità di rappresentazione della realtà molto più aderente a quella naturale con cui la realtà viene percepita dagli esseri umani.

Il limite di qualunque sistema di valutazione tradizionale è infatti legato al fatto che solitamente si basa sull’uso di valori discrezionali rigidi, che indicano quanto il requisito di conformità sia soddisfatto: dal semplice conforme/non conforme a gradazioni di conformità espresse come alto, medio, basso.

È evidente che questa limitazione di valori non consente di esprimere adeguatamente un giudizio che si ponga fra i valori predefiniti e che meglio risponda alla reale valutazione dell’auditor, il quale è quindi costretto a decidere fra un range limitato di valori.

La logica fuzzy permette invece di esprimere una valutazione di conformità con un’infinita serie di valori, come esemplificato nella sottostante figura.

Più dettagliatamente, la logica fuzzy può essere definita con un semplice esempio: nella logica tradizionale se vengono definiti alti (l’equivalente del conforme) gli uomini sopra i 180 centimetri, un uomo di 179 centimetri sarà considerato basso (l’equivalente del non conforme) e questo va contro il senso comune.

Secondo la logica fuzzy (e gli insiemi fuzzy) invece, molto più verosimilmente, l’uomo verrà considerato appartenente all’insieme degli uomini alti con un alto grado di appartenenza e ad all’insieme degli uomini bassi con un basso grado di appartenenza.

In tale modo è quindi possibile esprimere un giudizio di conformità in un insieme continuo di valori che corrispondono a parametri come quelli qui rappresentati:

Un altro vantaggio della logica fuzzy è che la combinazione della valutazione dei singoli requisiti sottoposti a verifica può avvenire utilizzando le precise regole della logica fuzzy (che, come accennato prima, ha specifiche regole matematiche).

RAPPRESENTAZIONE GRAFICA DELLE OPERAZIONI SU INSIEMI FUZZY[2]
COMPLEMENTO (NOT)
INTERSEZIONE
UNIONE

La logica fuzzy può essere implementata in specifiche applicazioni software ed è anche possibile creare sistemi esperti neurofuzzy con i quali “congelare” l’esperienza di diversi auditor ed affinare tale conoscenza nel tempo.

Un “Sistema Esperto” è un programma informatico in grado di rispondere ad un problema come (teoricamente) risponderebbe un esperto umano: rispetto a quest’ultimo, però, ha il vantaggio di essere neutro e non influenzabile in merito alla risposta data ed è inoltre in grado di dare evidenza delle motivazioni che hanno portato a quella specifica risposta.

La creazione di un SE richiede la presenza di uno (o più):

  • esperto di dominio, cioè una persona (o un gruppo di persone) che abbia lavorato sull’argomento che deve essere trasformato in SE, affrontandolo normalmente senza strumenti informatici specializzati
  • esperto della tecnologia, cioè una persona (o un gruppo di persone) che conosce la tecnologia specifica e quella informatica.

La relazione fra esperto di dominio ed esperto della tecnologia non è tuttavia univoca ed uguale in tutte le situazioni.

Uno dei problemi nella realizzazione dei SE è infatti legato alle difficoltà che l’esperto incontra nel tentativo di descrivere le proprie competenze: non sempre, infatti, l’esperto di dominio è in grado di esplicitare in termini formali e logicamente/matematicamente descrivibili le proprie conoscenze.

Il problema viene risolto grazie all’uso delle reti neurali, che possono essere addestrate mediante l’utilizzo di esempi di valutazioni espresse da esperti umani.

 

Ruolo dell’esperto di dominio e della tecnologia disponibile per la realizzazione del SE[3]

 
Modalità di

realizzazione del SE

Coinvolgimento dell’espertoTipologia di strumento
Impostazione manuale di regoleL’esperto è in grado di formulare le soluzioni matematiche e logiche alle varie situazioni.

L’esperto ha quindi una conoscenza esplicita del problema che è in grado di esprimere mediante variabili e formule.

Sistema fuzzy tradizionale
Data In, Rules OutL’esperto indica le soluzioni di una serie di esempi, ma non è in grado di formulare soluzioni matematiche.

L’esperto ha quindi una conoscenza implicita del problema derivante dalla sua esperienza, ma non è in grado di tradurre questa in specifiche formule.

Più esperti possono contribuire con propri esempi.

Sistema neurofuzzy

Tale soluzione, come evidenziato nel mio articolo: Gestire il trattamento automatizzato dei dati: un approccio, ha una serie di limiti, fra cui in particolare il fatto che gli algoritmi realizzati non sono trasparenti.

Questo è il motivo per cui è opportuno utilizzare sistemi neurofuzzy che non hanno queste limitazioni.

La realizzazione di un SE basata su logica fuzzy, o meglio neurofuzzy, ha diversi vantaggi, fra i quali:

  • l’uso di valori espressi sia in forma numerica sia in forma letterale e qualitativa
  • la possibilità di utilizzare un numero limitato di casi significativi di variabili ANTECEDENTI e relative CONSEGUENTI per la generazione automatica della REGOLE utilizzando la tecnica DIRO (Data In – Rules Out)
  • la facilità con cui è possibile fornire tali informazioni al sistema: ad esempio un foglio excel come quello qui rappresentato, che è relativo ad un SE per la valutazione dei rischi

Conclusioni

Una verifica in ambito privacy richiede, oltre a specifiche competenze, l’uso combinato di strumenti e metodologie che non possono essere improvvisate o semplificate[5]. Alto è – in caso contrario – il rischio di formulare valutazioni di conformità errate che espongono i Titolari a potenziali sanzioni.

  1. Si veda anche Data governance nel GDPR con strumenti regtech: i vantaggi
  2. Tabella tratta dal libro L. Schiavina, G. Butti – Intelligenza artificiale e soft computingApplicazioni pratiche per aziende e professionisti FrancoAngeli 2017.
  3. Tabella tratta dal libro L. Schiavina, G. Butti – Intelligenza artificiale e soft computingApplicazioni pratiche per aziende e professionisti FrancoAngeli 2017.
  4. G. Butti, A. Piamonte, Misurare la physical cyber security, 2017
  5. Si veda: G. Butti – M.R. Perugini. Audit e GDPR Manuale per le attività di verifica e sorveglianza del titolare e del DPO – FrancoAngeli, 2019
DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 4