Individuazione delle minacce e delle relative contromisure
Gli eventi incerti da cui è necessario proteggersi al fine di garantire l’integrità, la disponibilità e la riservatezza dei dati personali trattati possono essere legati a:
- indisponibilità dei processi, ovvero i processi non esistono più o non funzionano più;
- accesso illegittimo ai dati personali da parte di persone non autorizzate;
- alterazioni o modifiche accidentali dei dati personali;
- indisponibilità dei dati personali;
- trattamento difforme da quello inizialmente previsto (deviazione dalla finalità definita, eccessiva o scorretta raccolta dei dati.
Si procede quindi con l’identificazione dei rischi, che è possibile suddividere secondo le seguenti categorie:
- rischi legati al comportamento delle persone;
- rischi relativi agli strumenti di lavoro;
- rischi relativi al contesto in cui si opera.
Coinvolgimento del DPO
L’attività sopra indicata richiede in molti casi conoscenze ed esperienze tecniche specifiche.
Ad esempio: conoscenza degli standard di gestione e controllo, modalità di valutazione e gestione dei rischi, tecniche informatiche per protezione dei dati, raccolta di evidenze in modo sicuro.
Il coinvolgimento di un DPO esperto in argomento:
- rende l’analisi più rapida/semplice e tranquillizza sui risultati delle valutazioni ottenute;
- consente spesso di ridurre/ottimizzare i costi di gestione, anche negli aspetti di sicurezza (sovrapposizione/duplicazione di misure di sicurezza inutili ed operativamente dannose);
- consente, in particolare se esterno, di allineare le modalità di gestione agli standard di categoria.
- E’ comprensibile/condivisibile per questi motivi, il suggerimento dell’European Data Protection Board (ex WP29) di nominare il DPO anche in assenza di specifico obbligo.
La nomina non deve essere considerata solo come un obbligo, cercando ridurne il costo al minimo, anche a scapito della qualità del servizio. La scelta di un tecnico qualificato come DPO può diventare fondamentale per l’azienda.
Quando/come dichiarare “adeguate” le misure di sicurezza
Il Regolamento Generale per la Protezione dei Dati (c,d, GDPR), impone:
- l’aggiornamento del Registro dei trattamenti,
- la valutazione del rischio per gli interessati,
- la verifica preventiva delle misure di sicurezza applicate al trattamento (Privacy by Design).
- Le procedure interne devono prevedere inoltre verifiche periodiche sui trattamenti eseguiti (privacy by default).
La conservazione da parte del Titolare delle evidenze dell’attività eseguite, i documenti utilizzati, i piani di adeguamento in corso, rappresentano la documentazione minima di riscontro.
Normative precedenti (dpr318 – D.lgs 196/03) imponevano l’aggiornamento (annuale) del Documento Programmatico sulla Sicurezza, contenente descrizione di: trattamenti, responsabilità, policy, procedure, regole aziendali, valutazione dei rischi, misure di sicurezza applicate, controlli eseguiti, piani di miglioramento, formazione, piani di emergenza.
Questo documento dal 2011 non è più richiesto dalla normativa, ma resta comunque, fondamentale per documentare l’attività eseguita e per informare l’Alta Direzione (Titolare dei trattamenti) sulle potenziali responsabilità derivanti, per questo motivo molte organizzazioni continuano ad aggiornarlo. Con qualche minimo adeguamento sui contenuti, (ad esempio riportando in allegato: le P.I.A. ed il registro degli incidenti) il documento potrebbe diventare la descrizione del “Sistema di Gestione per la Sicurezza delle Informazioni (SGSI)”.
L’aggiornamento del documento in organizzazioni complesse è utile per dimostrare l’avvenuta revisione periodica delle attività, può essere utilizzato come base per la certificazione dei processi di gestione (ISO 27001), per dimostrare l’adesione a codici di comportamento di settore (art.40 del GDPR) e per dichiarare la presa visione dell’analisi dei rischi da parte del Titolare.