Alcuni approfondimenti sulle misure per la mitigazione dei rischi
Il tema delle “misure di mitigazione”, da applicare a seguito della valutazione dei rischi, presenta numerose sfaccettature, in questo articolo vengono illustrati alcuni aspetti secondari, ma non per questo non degni di approfondimento. Le misure di mitigazione sono necessarie per prevenire e per evitare che si ripetano gli eventi che incidono sulla perdita di riservatezza, integrità e disponibilità dei dati personali e, quindi, servono a ridurre gli impatti sugli interessati, a seguito di eventi avversi, in relazione ai loro diritti e alle loro libertà, così come chiede il GDPR.
(Nella foto: Monica Perego, membro del Comitato Scientifico di Federprivacy)
Le misure possono essere suddivise tra quelle di carattere organizzativo e quelle tecniche. Le prime riguardano aspetti afferenti all’ambito tecnologico e sono specifiche; le seconde sono sostanzialmente trasversali al tipo di organizzazione per quanto devono sempre essere considerate in relazione al contesto.
Le misure devono basarsi su un insieme bilanciato di controlli, che sono messi in atto grazie a strumenti quali:
- la competenza e la consapevolezza degli autorizzati al trattamento
- le procedure e le istruzioni
- gli automatismi.
In questo articolo si vogliono approfondire alcuni altri elementi peculiari che caratterizzano le misure, per la protezione dei dati, indipendentemente dalla loro classificazione, ed in particolare gli aspetti relativi a:
- i cambiamenti di contesto e le misure
- la valutazione delle misure
I cambiamenti di contesto e le misure - Le misure devono essere riconsiderate ogni qual volta avviene un cambiamento in seno all’organizzazione, dovuto a fattori interni o esterni.
Cambiamenti originati da fattori interni:
- introduzione di nuovi trattamenti o variazioni di trattamenti già in essere e più in generale nuovi business
- modifiche alla struttura organizzativa – funzionigramma e/o mansionario
- introduzione o variazioni di processi, tecnologie, applicativi, infrastrutture
- introduzione di nuovi fornitori o assegnazione di nuove attività/servizi a fornitori già utilizzati
- modifiche alle procedure aziendali.
Cambiamenti originati da fattori esterni:
- nuove normative o loro variazione
- richieste da parte dei clienti nel ruolo di titolari del trattamento
- nuove minacce che impattano sui processi, sulle tecnologie, sugli applicativi, sull’infrastruttura
- sviluppi nelle conoscenze ed innovazioni tecnologiche.
Nell’ambito del processo di privacy by design, il Titolare del trattamento deve stimare l’impatto di questi cambiamenti sulle misure già in essere, prima di introdurre o modificare il trattamento e non solo ex-ante. In altri termini, almeno in via puramente teorica, la privacy by design andrebbe rivalutata in occasione di ogni modifica del contesto.
Le misure di mitigazione potrebbero anche essere eliminate; è il caso, ad esempio, di quando viene rimossa la fonte di un rischio, e quindi le misure fino a quel momento applicate risulterebbero inutili; ad esempio, se si elimina il server in quanto si trasferiscono tutti i dati in cloud, le misure atte a proteggere il server dal rischio di furto, venendo a mancare la fonte del rischio – appunto il server – diventano inutili.
La valutazione delle misure - Le misure introdotte ex novo o modificate devono essere valutate con attenzione, e devono essere:
- proporzionate rispetto ai rischi che si vanno a mitigare – come indicato nell’art. 24 del GDPR
- condivise con i responsabili dei processi – ovvero con chi poi ha la responsabilità nella verifica dell’efficiente applicazione delle stesse misure
- spiegate a chi sarà chiamato ad applicarle – non basta dare un’istruzione, bisogna anche illustrare l’esigenza alla base della richiesta
- per quanto possibile automatizzate; infatti, una misura che si basi esclusivamente sulla “speranza che un autorizzato si ricordi di fare qualcosa” è una misura intrinsecamente debole
- sperimentate in campo per valutarne la fattibilità prima di essere consolidate attraverso procedure
- adeguate dal punto di vista tecnologico
- riesaminate in occasione di altri eventi che modifichino il contesto, in fase di audit (sistema di gestione), di ispezione, e nel caso di eventi che abbiano minato o potenzialmente avrebbero minato la sicurezza del patrimonio dei dati aziendali (e non solo quelli afferenti ai dati personali).
D’altra parte le misure non devono:
- essere eccessive o confliggere con una esecuzione efficace ed efficiente delle attività o con la necessità di effettuare altri controlli necessari a mitigare altri rischi;
- basarsi esclusivamente su un approccio di tipo reattivo qui c’è un LINK; tale modello non è né sicuro né economico, nel breve come nel lungo periodo.
Il ruolo del DPO - Se il Titolare del trattamento ha il compito, come recita l’art. 24 del GDPR, di individuare, selezionare e fornire le risorse, nonché di implementare e valutare le misure, il DPO deve essere informato sulla presa in carico delle stesse, e ciò avviene sulla base dei flussi che lo stesso riceve dal Titolare, siano essi ad evento od in occasione delle riunioni ordinarie dello stesso.
Il DPO, inoltre, nell’ambito delle attività di audit a suo carico - vedi art. 39 “Compiti del responsabile della protezione dei dati” è chiamato a verificare l’adeguatezza delle misure in termini di efficacia (se sono implementate come previsto) ed efficienza (se raggiungono l’obiettivo di mitigare i rischi in modo congruo rispetto allo sforzo che richiede la loro applicazione). Il DPO deve infatti sempre tenere presente quanto recita l’art. 39 al paragrafo 2. “Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo”.