L’analisi del rischio rappresenta un tassello fondamentale nell’ottica di responsabilizzazione di ogni titolare del trattamento, soggetto chiamato dal GDPR a fare tutto il necessario per assicurare la giusta tutela e protezione delle persone con riguardo al trattamento, nonché un valido aiuto in un momento di profonda incertezza come quello in cui si trovano tutti gli operatori del settore in seguito alla sentenza Schrems II con cui la Corte di Giustizia Europea ha invalidato l’accordo tra gli Stati Uniti e l’Unione Europea chiamato Privacy Shield.
Valutazione del rischio e accountability: come “mettere a terra” gli adempimenti del GDPR
Lo “tsunami” Google Analytics
Tra le problematiche emerse nel nostro Paese e non solo, è emersa ad esempio quella relativa all’utilizzo di Google Analytics.
Con un Provvedimento del 9 giugno 2022 n. 9782890 il Garante per la protezione dei dati personali ha infatti ammonito una società che utilizzava Google Analytics (GA3 o Analytics Universal) sul proprio sito, riconoscendo come illecito il trattamento dei dati personali raccolti per il tramite di Google Analytics per via del trasferimento degli stessi extra UE in particolare negli Stati Uniti.
È noto a tutti che, nel corso dell’istruttoria, l’Autorità ha esaminato nel dettaglio le misure supplementari adottate dalla società destinataria del provvedimento e in particolare la cosiddetta opzione “IP-Anonymization” prevista da Google Analytics nonché la cifratura dei dati, ritenendole entrambe non idonee a garantire un adeguato livello di protezione dei dati personali trattati.
Si è trattato di un vero e proprio tsunami in ambito privacy che ha messo in allarme tutti gli addetti ai lavori, dai web master agli IT interni alle aziende, dai consulenti legali ai DPO, generando una situazione di grande incertezza.
Non si può negare che, allo stato, la soluzione più auspicabile sia certamente il raggiungimento di un accordo politico tra Europa e Stati Uniti, volto a regolare in maniera certa e definitiva il tema del trasferimento dei dati extra UE e ciò non solo con riferimento a Google Analytics, ma anche con riferimento a tutti gli altri servizi di uso quotidiano che comportano un trasferimento di dati personali negli Stati Uniti. Di questo accordo, tuttavia, ad oggi non si hanno notizie certe.
Gli aspetti legali della questione del trattamento dei dati
Alla luce di ciò, la conoscenza degli aspetti legali della questione del trattamento dei dati personali extra UE è fondamentale al fine di decidere consapevolmente quale strada intraprendere.
Non dimentichiamo, infatti, che il principio di responsabilizzazione sancito dal GDPR, impone al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate a garantire che tutte le attività di trattamento siano poste in essere in conformità alla normativa privacy e, in un siffatto scenario, il processo di valutazione e gestione del rischio rappresenta un importante passo nel percorso di responsabilizzazione del titolare del trattamento, nonché un valido aiuto in sede di predisposizione di misure funzionali alla protezione dei dati e ciò a prescindere dall’eventuale trasferimento dei dati trattati al dì fuori dei confini europei.
La valutazione dei rischi nella normativa privacy
In particolare, la normativa privacy richiede al titolare del trattamento una valutazione complessiva dei rischi connessi alle attività di trattamento poste in essere e, in base a quanto emerso, la realizzazione di adeguate misure per limitare i suddetti rischi. Più in particolare, le misure progettate e realizzate devono assicurare un adeguato livello di sicurezza bilanciando da un lato, lo stato dell’arte e i costi di attuazione e, dall’altro, i rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.
È importante precisare che la normativa non fornisce una indicazione tassativa circa le misure di sicurezza da adottare, ma fornisce solo un elenco esemplificativo di misure che possono essere adottate dal Titolare del Trattamento sulla base delle risultanze dell’analisi dei rischi condotta, tra cui:
- pseudonimizzazione e cifratura dei dati personali;
- capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- l’esistenza di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Ciascuna di queste misure generiche dovrà poi concretizzarsi tanto in misure tecniche, ossia quelle riferite ad uno strumento, macchina o elaboratore che verrà utilizzato dal Titolare del Trattamento nell’espletamento delle attività di trattamento, sia in misure organizzative, affidate invece ai comportamenti dei soggetti coinvolti nelle attività di trattamento, i quali dovranno essere precisamente regolamentati e standardizzati e livello aziendale.
Nel valutare poi il livello di adeguatezza delle misure adottate, ai sensi dell’art. 32 del GDPR, il Titolare del Trattamento dovrà stabilire se le stesse siano in grado di prevenire e contrastare i rischi tipicamente derivanti dall’attività di trattamento, ossia distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Come il Titolare del Trattamento può procedere alla valutazione dei rischi
Fatte queste premesse, esaminiamo in concreto come il Titolare del Trattamento può procedere alla valutazione dei rischi.
Il metodo orizzontale
In particolare, egli può approcciarsi all’attività di analisi del rischio adottando dapprima il metodo cosiddetto orizzontale, con riferimento a ciascuno dei quattro settori in cui il rischio è suscettibile di verificarsi, ossia quello:
– del comportamento degli operatori;
-de i dispositivi hardware;
– dei dispositivi software;
– del contesto.
Per ciascuno di questi settori sarà necessario indicare le misure tecniche e organizzative attuate dal titolare del trattamento con particolare riferimento alla:
– pseudonimizzazione e alla cifratura dei dati personali
– capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
– capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
– esistenza di procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
A questo punto, per ciascun profilo e per ciascun asset coinvolto, deve essere effettuata una valutazione in termini di probabilità e gravità che tiene conto dei principali rischi alla sicurezza dei dati personali menzionati all’art. 32 GDPR e che possono derivare dalla “distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.
L’analisi del rischio verticale
Successivamente, richiamandosi alla valutazione effettuata con metodo orizzontale, sarà possibile condurre un’analisi del rischio verticale, ossia per processo, ricorrendo ai criteri dettati dalle linee guida ENISA per valutare in concreto se le misure di sicurezza adottate e precedentemente indicate contribuiscono effettivamente alla riduzione e gestione del rischio.
Al fine di supportare il titolare del trattamento nell’attività di analisi dei rischi, infatti, l’ENISA, congiuntamente al Gruppo di Lavoro cui ha preso parte anche il Garante Privacy italiano, ha elaborato uno specifico approccio per la valutazione del rischio di sicurezza, in virtù di quanto previsto dall’art. 32 del GDPR in tema di sicurezza del trattamento.
In particolare, la valutazione viene condotta sulla base di specifici parametri predeterminati e, all’esito dell’analisi, sarà possibile esprimersi circa il livello generale di rischi, identificato come prodotto tra i risultati di impatto e le probabilità di accadimento, sulla base di quattro livelli predefiniti (basso, medio, alto e critico).
In primo luogo, dovranno essere definite con precisione le diverse attività di trattamento determinandone per ciascuna gli aspetti più rilevanti come, a titolo esemplificativo, le categorie di dati trattati, i destinatari degli stessi, gli strumenti coinvolti nel trattamento. In secondo luogo, dovrà essere valutato l’impatto che, in termini di gravità, un eventuale incidente di sicurezza potrebbe avere con riferimento ai diritti degli interessati, considerando i principali rischi già considerati nella precedente fase di valutazione e richiamati dall’art. 32 del GDPR.
Sarà inoltre necessario valutare, in termini di probabilità, le potenziali minacce connesse alle attività di trattamento individuate. Solo dopo aver determinato la gravità dell’impatto e la probabilità che la minaccia si verifichi, sarà possibile effettivamente procedere con una valutazione finale del rischio. A conclusione dell’analisi, dovranno essere individuate le misure tecniche e organizzative da adottare o eventualmente da potenziare all’esito delle risultanze emerse.
Qualora il livello generale di rischio dovesse risultare elevato, sarà onere del titolare del trattamento condurre una valutazione di impatto sulla protezione dei dati con lo scopo di indagare ulteriormente i profili di rischio emersi e, qualora non sia possibile adottare misure idonee, egli dovrà consultare l’Autorità di controllo prima di porre in essere l’attività di trattamento.
Conclusioni
Come anticipato, l’analisi del rischio si rivela quindi essere un adempimento fondamentale vista la necessità di porre in essere attività di trattamento che si rivelino il più possibile sicure per tutti gli interessati, così come richiesto dalla normativa privacy.
