ANALISI DEI RISCHI “PRIVACY”

NORMATIVA

Mostra

  • Art. 5, 24, 32 GDPR, C(74), C(83)

Articolo 5

Principi applicabili al trattamento dei dati personali

1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»).

Articolo 24

Responsabilità del titolare del trattamento

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.
3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Articolo 32

Sicurezza del trattamento

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Considerando 74

È opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Considerando 83

Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

DOMANDE

1. La valutazione dei rischi è obbligatoria?

Sì, data una tipologia di trattamento e tenuto conto del contesto e dei rischi del trattamento il Titolare del Trattamento deve mettere in atto le misure tecniche ed organizzative adeguate per garantire (e dimostrare) trattamenti conformi ai principi del regolamento (art. 5(1)(f), 5(2)). Le misure sono riesaminate e aggiornate quando necessario (Art. 24 GDPR). Inoltre (art. 32) il titolare del trattamento deve mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

2. Quali sono i rischi da valutare?

Si parla di rischio per i diritti e le libertà delle persone fisiche (Considerando 74, 75 GDPR) derivanti dalla perdita di riservatezza, integrità o disponibilità dei dati personali. Si devono quindi presidiare le minacce che possono portare pericoli di questo tipo per i dati personali. I rischi per i diritti e le libertà delle persone fisiche possono derivare, ad esempio, da:

  • Discriminazione
  • Furto o usurpazione dell’identità
  • Perdite finanziarie
  • Pregiudizi reputazionali

3. Come si effettua l’analisi dei rischi e chi la esegue?

In coerenza con il principio di accountability,  le indicazioni normative vanno applicate e interpretate dai titolari del trattamento. In quest’ottica il titolare dovrà censire i rischi di trattamento, valutarli adottando un modello ben definito e stabilire delle misure tecniche ed organizzative adeguate ai rischi che dovranno essere periodicamente riviste. Anche sotto il profilo metodologico non ci sono prescrizioni da seguire ma il titolare è chiamato ad applicare il principio dell’accountability nella definizione del metodo di valutazione.

Prendendo come riferimento le indicazioni presenti nelle “Linee guida in materia di Valutazione di Impatto WP248” del comitato europeo delle autorità garanti, per ogni trattamento si dovrebbero quantomeno effettuare i seguenti passaggi:

  • Descrizione del trattamento (art. 35.7.a GDPR):
    • Natura, ambito di applicazione, contesto e finalità del trattamento
    • Categorie di interessati, categorie di dati personali, destinatari dei dati e periodo di conservazione
    • Descrizione funzionale del trattamento
    • Risorse utilizzate per il trattamento (hardware, software, db, reti, persone, archivi cartacei)
  • Gestione dei rischi
    • determinare l’origine, la natura, la particolarità e la gravità dei rischi. Più in particolare, per ciascun rischio “RID” (perdita di riservatezza, perdita di integrità e perdita di disponibilità) si dovrebbe determinare, dal punto di vista degli interessati:
      • considerare le fonti di rischio (Considerando 90)
      • individuare gli impatti potenziali per gli interessati in caso di eventi che includono una perdita di riservatezza, una perdita di integrità o una perdita di disponibilità dei dati
      • individuare le minacce che possono portare ad una perdita di riservatezza, di integrità o di disponibilità dei dati
      • vengono stimate la probabilità e la gravità delle manifestazioni di rischio (le minacce)
    • determinare le misure previste per presidiare i rischi (art. 35, par. 7, lett. d) e Considerando 90)

L’ENISA (European Union Agency for Cybersecurity) il cui ruolo è stato di recente rafforzato con il “Cybersecurity Act” (Reg.

  1.  

 

LINK UTILI