Misure di Sicurezza e Risk Management nel GDPR Componenti del processo di analisi e gestione del rischio di protezione deidati personali
Enrico TOSOMilano, 29 GENNAIO 2016
#READY4EUDATAP
#READY4EUDATAP
Tecnologia
disponibile
Esigenze di tutela
degli interessati
L’analisi del rischio connesso
al trattamento deve essere
valutato in base a:
- natura del trattamento
- oggetto del trattamento
- contesto del trattamento
- finalità del trattamento
-coefficiente di probabilità
dell'evento
-coefficiente di gravità
dell‘impatto in caso di
violazione dei diritti e delle
libertà delle persone fisiche
Misure tecniche
e organizzative
opportune
Dimostrazione di
adeguatezza
delle misure
Costi di
attuazione
(da Art. 33)
Approccio RISK-DRIVEN basato su PIA
#READY4EUDATAP
PIA – Sommario delle fasi
Le fasi del processo PIA possono essere condotte e
registrate secondo il seguente schema:
1 : Valutazione preliminare di opportunità per un PIA
2 : a. Descrizione dei flussi di informazioni
b. Ruoli e coinvolgimento dei partecipanti
3 : Identificazione dei rischi privacy e di quelli correlati
4 : Individuazione delle soluzioni e delle misure
5 : Approvazione delle decisioni e registrazione dei risultati
6 : Integrazione dei risultati del PIA nel piano di progetto
#READY4EUDATAP
PIA – Fase 3
Item
Privacy
Rischi nei confronti degli
individui
Rischi nei confronti
dell'organizzazioneRischi di conformità
I rischi nei confronti degli
individui possono essere
categorizzati in modo diverso
ma e' importante che siano
considerati:
- i rischi per la sicurezza fisica
- i rischi materiali (ad es. perdite
finanziarie causate da frodi o
dati inesatti o una violazione
della sicurezza)
- i rischi morali (ad es.
preoccupazione per la diffusione
di una notizia riservata o per
un'intrusione non prevista)
I rischi nei confronti
dell'organizzazione,
possono consistere in
danni alla reputazione
con conseguente
perdita di business o in
costi finanziari a seguito
di una violazione dei
dati
I rischi legali di
conformità (ad es. al
GDPR, al PECR, alla Legge
sui Diritti Umani)
possono comportare
penali o multe
Si consideri l'insieme dei
principi applicabili di
default riportati in
allegato che servono a
identificare se i principali
criteri di conformità sono
stati trattati e come
Esempio di Risk Register
#READY4EUDATAP
PIA – Fase 3
Vulnerabilità Minaccia Probab. [P1]
Effetto / Impatto Gravità [G1]
Controlli inadeguati di blocco alla divulgazione dei dati di identità
Possono aumentare la probabilità di diffusione impropria delle informazioni
3 Rischio materiale di perdita dovuta alla sottrazione delle identità
4
Il contesto in cui un'informazione viene usata o resa nota può cambiare nel tempo
Può portare ad un uso per scopi diversi da quelli intesi inizialmente senza che gli interessati lo sappiano
2 Rischio morale di tensione e di fastidio nel vedersi coinvolto in attività non di interesse o non volute
3
Nuovi metodi di sorveglianza
Possono comportare un intrusione ingiustificata
3 Rischio per la sicurezza fisica
4
Una raccolta massiccia di informazioni su individui
Può portare a prendere misure nei loro confronti
4 Rischio morale di subire attività intrusive e di subire ingerenze inattese
4
A titolo di esempio segue una matrice che esamina possibili rischi verso gli individui :
#READY4EUDATAP
PIA – Fase 4
Rischio
Rif.Soluzione Risultato [P2] [G2] Valutazione
Pseudonimizzazione
Anonimizzazione
Cifratura dei
messaggi o degli
archivi
Controllo periodico
e monitoraggio
Il rischio è
stato
eliminato,
ridotto o
accettato
1
2
3
4
5
1
2
3
4
5
L'impatto finale
dopo la
realizzazione di
ciascuna soluzione
costituisce una
risposta
giustificata,
conforme e
proporzionata agli
scopi del progetto
Il rischio viene ricalcolato in modo che sia evidente il valore finale [2] rispetto a quello
iniziale [1] così da pesare l’efficacia della misura introdotta.
Sulla base degli interventi eseguiti, il Risk Register va tenuto aggiornato per riflettere
come le misure introdotte abbiano cambiato il livello di rischio.
#READY4EUDATAP
PIA – Fase 5
Per le soluzioni che si è deciso di portare avanti è opportuno tener
traccia dei passi seguiti nel processo decisionale, compreso chi li
abbia approvati. Parimenti, se si fosse deciso di accettare un rischio,
dovrebbe essere esplicita l’argomentazione sostenuta e l’assunzione
di responsabilità.
Risk Rif. Soluzione
decisa
Requisito
derogato
Approvato da
Approvazione delle decisioni e registrazione dei risultati
#READY4EUDATAP
Riferimenti bibliografici
Questions and Answers – Data Protection reform 21 dic 2015http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm
Conducting PIA – Code of Practice – Data Protection Act – ICOhttps://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf
PIA GUIDE - U.S. Securities and Exchange Commissionhttps://www.sec.gov/about/privacy/piaguide.pdf
Guide to conducting PIA - U.S. Department of Justice - 2012http://www.it.ojp.gov/documents/d/Guide%20to%20Conducting%20Privacy%20Impact
%20Assessments_compliant.pdf
G. Pizzetti – Sette anni di protezione dati in Italia 2005 - 12 - Ed.
G. Giappichelli
#READY4EUDATAP
Facci una domanda sul Blog
Contattaci su Twitter
Facci una domanda sul Blog
#READY4EUDATAP
Puoi trovare la versione estesa con gli allegatiQUI