I possibili metodi per l’analisi e la gestione dei rischi privacy, necessari per ottemperare agli obblighi di “privacy by design” imposti dal GDPR, sono molteplici, con livelli di complessità anche molto diversi. Enisa e Cnil offrono due approcci possibili.
Spetta però ai titolari selezionare e adottare le misure di protezione secondo un approccio basato sul rischio e sull’impatto, graduando l’efficacia delle misure in relazione al livello di rischio per i diritti e la libertà degli interessati.
Privacy by design, la scelta dell’approccio più adatto
Il GDPR non impone metodi o strumenti specifici: deve quindi essere scelto l’approccio più appropriato rispetto alla propria realtà aziendale, alle metodologie già in uso, con un ragionevole bilanciamento tra efficacia, aderenza alle best practice di riferimento e facilità d’applicazione.
L’art 25 del GDPR impone al Titolare di mettere in atto “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso” misure tecniche e organizzative adeguate, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”.
Ogni titolare può quindi scegliere liberamente le misure di sicurezza da attuare, senza vincoli legati ad elenchi di “misure minime”: e se questa libertà costituisce da una parte un’opportunità, dall’altra impone l’onere di motivare e documentare le scelte effettuate, anche in occasione di eventuali attività di controllo e verifica da parte del Garante.
In definitiva i titolari devono definire, documentare e applicare metodi, strumenti e procedure operative, nonché i relativi ruoli e responsabilità, per valutare i rischi per gli interessati, sia in termini di rischio potenziale (in assenza di misure di sicurezza) che di rischio residuo (a valle dell’adozione delle misure di protezione).
Il rischio potenziale indirizza la scelta delle misure di protezione, mentre il rischio residuo consente di valutare l’adeguatezza delle misure adottate (anche in occasione delle verifiche periodiche richieste dal GDPR). Il rischio residuo è inoltre un elemento fondamentale, nei casi in cui sia necessaria l’esecuzione di una DPIA (Data Protection Impact Assessment), per definirne l’esito e prendere le opportune decisioni (esito positivo – si può procedere al trattamento, esito negativo – non si può procedure al trattamento, necessità di ricorrere ad una Consultazione Preventiva all’Autorità di Controllo).
Oltre agli standard internazionali di riferimento per il Risk Management, come l’ISO/IEC 27005, altri enti come l’ENISA (European Network and Information Security Agency) e il CNIL (Commission nationale de l’informatique et des libertés, l’Autorità francese per la protezione dei dati) hanno pubblicato delle linee guida al “privacy risk management”.
L’approccio ENISA
Il manuale ENISA “Handbook on Security of Personal Data Processing” definisce un approccio alla valutazione dei rischi per la sicurezza dei dati personali e la conseguente scelta delle misure di sicurezza.
Le fasi principali su cui si basa la metodologia sono le seguenti.
Valutazione degli impatti sui diritti e sulle libertà degli interessati in caso di violazione dei dati personali.
Analisi delle minacce e valutazione delle relative probabilità, proponendo una serie di domande che guidano questa fase utilizzando dei punteggi legati alla probabilità stimata delle minacce che possono concorrere a una violazione dei dati e uno score finale che determina il loro livello di probabilità.
Valutazione del rischio in funzione ai livelli di impatto e alle probabilità di accadimento delle minacce, utilizzando una scala qualitativa a quattro livelli.
Selezione delle misure di sicurezza, utilizzando un elenco di misure, tecniche e organizzative, riportato in allegato, articolate in relazione al livello di rischio.
L’approccio CNIL
Il manuale CNIL “Gérer les risques sur les libertés et la vie privée” propone un metodo per gestire i rischi privacy.
Analogamente alla metodologia ENISA, il primo passo è la valutazione del livello di severità degli eventi indesiderati (es. accesso illegittimo a dati personali), ma con un approccio più complesso, che tiene conto, sommandoli, sia della facilità di identificazione di un singolo interessato sia della gravità dell’impatto per il medesimo.
Il passo successivo è la valutazione della probabilità di accadimento delle minacce, calcolata come somma del livello di vulnerabilità degli strumenti utilizzati per il trattamento e del livello di capacità delle sorgenti di rischio (tempo disponibile, competenza, motivazione, ecc.); la probabilità più elevata deve essere poi associata ad ogni evento indesiderato.
Il livello di rischio per ogni evento indesiderato è calcolato come funzione del relativo livello di severità e della probabilità di accadimento.
La mappa del rischio è suddivisa in quattro quadranti, che richiedono approcci diversi: ad esempio ai rischi a impatti e probabilità elevati (quadrante rosso) devono essere obbligatoriamente mitigati tramite misure di prevenzione e recovery, che ne riducano sia la severità che la probabilità.
Il passo successivo è rappresentato dalla scelta delle misure di protezione e dalla rivalutazione del rischio residuo a valle della loro adozione, come funzione della “severità residua” e della “probabilità residua”.
L’importanza di un approccio “sostenibile”
Le aziende, nel loro percorso di adeguamento al GDPR, si trovano ad affrontare il compito non certo semplice di definire una metodologia di risk management che guidi la scelta delle misure di sicurezza a protezione dei dati, in conformità all’approccio “privacy by design” richiesto dal Regolamento.
La scelta di metodi complessi, derivati dagli standard e le best practice di riferimento, spesso la scelta preferita dalle aziende di grandi dimensioni e a volte suggerita dall’approccio “se lo hanno detto loro…nessuno me lo potrà contestare!”, può comportare difficoltà nella loro applicazione pratica, oltre ai sensibili costi per l’eventuale supporto richiesto alle società di consulenza.
Uno tipico limite degli approcci “scolastici” basati sulle probabilità di accadimento, vuoi degli eventi con impatto sui dati vuoi delle singole minacce, è rappresentato dalla difficoltà nel reperire gli elementi utili a tale valutazione.
Il passo di partenza irrinunciabile, comune a qualsiasi metodo e proposto sia da ENISA che da CNIL, è rappresentato dalla valutazione degli impatti per gli interessati in caso di violazione dei dati personali che li riguardano.
Per facilitare la valutazione possono essere predisposte delle matrici che guidano la fase di interviste con i referenti aziendali, utilizzando criteri e soglie qualitative facilmente comprensibili, che includono tutte le dimensioni necessarie per una valutazione corretta, quali danni morali, danni materiali, danni sull’immagine/reputazione e danni fisici, utilizzando il range di livelli di impatto più adatto rispetto agli standard aziendali (sia ENISA che CNIL utilizzano una scala a quattro livelli, da Molto Alto/Massimo a Basso/Trascurabile).
È opportuno che la valutazione sia effettuata per ciascuno dei parametri di Riservatezza, Integrità e Disponibilità (noti agli “addetti ai lavori” come parametri RID) relativi ai dati personali oggetto del trattamento in esame, molto spesso associato a un’applicazione informatica in fase di progettazione: il livello di impatto risultante per ogni parametro RID sarà pari al valore più critico tra quelli individuati per ciascuna delle varie dimensioni di valutazione.
Mantenere separate le valutazioni di impatto, e conseguentemente di rischio, per ciascuno dei tre parametri, consente di indirizzare in modo più preciso e puntuale la scelta delle misure di sicurezza, che per la loro stessa natura possono avere una diversa capacità di protezione di tali parametri.
Per eseguire il passo successivo di valutazione del rischio potenziale sono possibili più opzioni, complicabili a piacere.
Il metodo più semplice è valutare il rischio potenziale (e anche il rischio residuo) come funzione degli impatti per gli interessati in caso di violazione dei dati che li riguardano e della probabilità di accadimento degli eventi che possano causare violazioni (direttamente correlata alla probabilità di accadimento delle minacce). La figura seguente riporta un esempio di criterio per il parametro Riservatezza.
La probabilità di accadimento degli eventi può essere calcolata utilizzando un sistema di domande e di punteggi quanto più possibile oggettivi, considerando aspetti quali l’esposizione su Internet del sistema informatico, l’uso di tecnologie come il Cloud, il coinvolgimento di terze parti, l’appetibilità delle informazioni trattate e le violazioni subite.
Qualora la valutazione della probabilità di accadimento risulti eccessivamente complessa, o poco attendibile, si può adottare una valutazione semplificata puramente “impact-based”, considerando la probabilità un valore invariante, pari al massimo, e determinando il rischio in relazione ai livelli di impatto.
Una volta individuati i livelli di rischio potenziale per ogni parametro RID, il passo successivo è la selezione delle misure di sicurezza coerenti con tali livelli.
Uno supporto efficace può essere costituito da una “Libreria di misure di sicurezza”, ispirata alle fonti di riferimento (ISO 27001, NIST, ENISA, PCI -DSS, ecc.) ma effettivamente corrispondente agli standard e alla realtà aziendale.
La mappatura di ogni misura in termini di capacità di mitigare le minacce per ciascuno dei parametri RID e di livello di rischio per cui la misura fornisce un livello di protezione adeguato consentirà di selezionare il set di misure idoneo rispetto al livello di rischio (o impatto in caso di valutazione semplificata “impact-based”).
Ogni misura sarà quindi caratterizzata da un livello di “adeguatezza” rispetto al rischio: misure di base (es. autenticazione tramite User-Id e password) dovranno essere selezionate già per il livello di rischio più basso, mentre misure più stringenti (es. crittografia, test di sicurezza periodici) saranno selezionate solo per livelli di rischio più elevati, garantendo una corretta “quantità di sicurezza” e l’aderenza all’approccio “risk-based” richiesto dal GDPR.
La libreria potrà essere integrata e raffinata ulteriormente, inserendo ad esempio misure obbligatorie in caso di particolari vincoli di compliance, un’ulteriore categorizzazione delle misure, utile a valutare sia il rischio residuo sia eventuali interventi correttivi, e la mappatura di ogni misura rispetto a un set di minacce di riferimento.
Il rischio residuo può essere calcolato seguendo vari approcci: uno dei più semplici è correlato all’effettivo stato di adozione di ogni misura e alla sua “categoria”. Lo stato di adozione può essere semplicemente ipotizzato secondo un approccio “what-if” in fase di progettazione, o valutato rispetto a una situazione effettiva, utilizzando gli stessi metodi e strumenti per effettuare gap analysis in occasione delle verifiche periodiche richieste dal GDPR.
Conclusioni
Ogni azienda deve scegliere l’approccio più appropriato rispetto alla propria realtà e ai propri standard, ispirandosi in modo flessibile alle metodologie e alle fonti di riferimento, semplificandole quanto necessario, con un ragionevole bilanciamento tra efficacia e facilità d’uso.
