La Valutazione del rischio all’interno della Data Protection Impact Assessment (Prima parte)

di Andrea Paro - Delegato Provinciale Treviso Federprivacy, Consulente Privacy

Il 25 maggio 2018, con l’entrata in vigore del nuovo Regolamento Europeo sulla protezione dei dati personali 2016/679 (c.d. GDPR), ha assunto particolare importanza la valutazione dell’impatto dei fattori di rischio nei molteplici contesti di trattamento (art. 35 GDPR). Tale valutazione risulta essenziale per poter dimostrare che il Titolare del Trattamento abbia posto in essere misure tecnico-organizzative adeguate al fine di ridurre i rischi intrinsechi alle attività che coinvolgono dati personali.

Con tale strumento, inoltre, il Legislatore Europeo ha sostituito, nella maggioranza dei casi previsti, il vecchio obbligo di notifica all’Autorità Garante. Tale obbligo permane qualora la valutazione residua del rischio da trattamento dei dati, per la Dignità e le Libertà personali dei soggetti interessati emergente dalla DPIA, risulti ancora elevato, malgrado le attività di mitigazione poste in essere. Pertanto il cuore di una qualsiasi Data Protection Impact Assessment (c.d. DPIA o Valutazione d’Impatto) è proprio la valutazione quali-quantitativa del rischio (Art. 35 par. 7 lett. C e D). In quest’articolo cercheremo di fornire delle linee guida generali proprio per la stesura di una valutazione del rischio da trattamento dei dati che consenta la determinazione del Rischio Residuo (Rr) in modo quanto più possibile oggettivo ed ancorato a solidi standard di riferimento, anche internazionali.

Il Rischio Residuo 

Molti framework di valutazione del rischio presenti sul mercato presentano diverse criticità, quali ad esempio:  

• l’adesione a standard univoci e, per questo, parziali, limitati o non completamente adattabili al contesto “privacy”;

• la povertà dei rischi considerati, non saldamente ancorati a loro volta a standard riconosciuti;

• l’assoluta parzialità dei controlli considerati, che denota la mancanza di cognizione di quali possano essere le misure di sicurezza fisiche, tecniche e organizzative da porre a protezione di un qualsivoglia trattamento;

• l’eccessiva ricchezza di controlli, molti dei quali inutili con la conseguenza di falsare il risultato finale;

• la non scalabilità dei rischi e dei controlli considerati rispetto alla tipologia di trattamento valutato;

• la non trasparenza del metodo valutativo e degli algoritmi adottati;

• spessissimo i tools a disposizione risultano essere, di fatto, dei contenitori “vuoti” e spetta alla conoscenza ed esperienza dell’operatore “riempirli” con i necessari elementi di valutazione come meglio crede, senza alcuna oggettività o, peggio, motivazione;

• che ogni elemento inserito sia autovalutato dall’operatore, trasformando l’intero sistema in un enorme gioco totalmente autoreferenziato (e per questo assolutamente opinabile ed attaccabile da qualsiasi soggetto terzo o, peggio, ispettivo).

Stop autoreferenziazione 

E’ soprattutto l’autoreferenziazione che porta ad aderire fideisticamente a sistemi di calcolo chiusi, non sufficientemente spiegati o comprensibili agli operatori (e, spesso, anche agli Organi di Controllo). O a molteplici scelte, pesi, misure selezionati pressoché casualmente o, nella migliore delle ipotesi, fornendo giustificazioni e pareri talmente generici da risultare stucchevolmente banali, onnicomprensivi e senza nemmeno una parvenza di validità legale. 

Una Valutazione del Rischio, invece, dovrebbe essere saldamente incardinata su degli standard valutativi e di calcolo riconosciuti o, meglio, certificati o certificabili. Ogni elemento di valutazione dovrebbe poter essere giustificato per la sua appartenenza ad un determinato standard in modo che lo spazio al libero arbitrio del Titolare, necessariamente irriducibile per alcuni ben identificati parametri, si riduca al minimo indispensabile e preveda una specifica giustificazione per ogni scelta o parametro assunto.

Standard certificabili

La valutazione del rischio inizia con la determinazione degli standard di riferimento, al fine di scegliere gli algoritmi più idonei alle tipologie di trattamento considerate (ad es. il Metodo Méhari, CSI Piemonte, ISO 31000, etc.). Per una corretta valutazione quali-quantitativa degli elementi di rischio bisogna considerare la fusione dei principi di più sistemi d’analisi e di calcolo (ad es. l’analisi di conduzione della valutazione basata sul Metodo Méhari e il sistema di calcolo basato sugli algoritmi di CSI Piemonte).

Una volta scelti sia il metodo che definiti gli algoritmi [Rischio = ƒ (Probabilità, Gravità, Misure di Sicurezza applicate)], bisogna considerare attentamente l’elenco dei rischi, la loro composizione e le Probabilità di accadimento (P) e la Gravità del danno prodotto (G). L’elenco dei rischi potrà essere mutuato, oltre che dal GDPR stesso (considerando 83) anche da standard consolidati (ad es. ISO 29134, 27001, 27701, etc.). Per ciascun rischio è essenziale il proprio aggancio ad una “norma” di riferimento. I singoli rischi andranno poi selezionati a seconda del tipo di trattamento considerato e solo per questi ultimi andrà calcolato il Rischio Inferente (Ri), risultato moltiplicando la Probabilità (P) per la Gravità (G). I valori di P e di G andranno scelti dal Titolare e opportunamente dettagliati e giustificati, uno ad uno.

Misure di sicurezza

A questo punto dovranno essere valutate nel dettaglio le Misure di Sicurezza poste in essere a mitigazione del Rischio (Kn=Fattore di Correzione). Questa valutazione passa attraverso l’adozione di set di controlli opportunamente congrui con il trattamento considerato e tutti dovranno provenire da framework universalmente riconosciuti (ad es. ISDP 10003, ISO 27001, AgID, Framework di Cybersecurity Nazionale, etc.). Il set di controlli, ciascuno saldamente ancorato al proprio (o a più) standard di riferimento, sarà il risultato della fusione di più framework in quanto praticamente tutti quelli disponibili e citati sono focalizzati solo su una parte dei controlli necessari (ad es. ad AgID, ENISA e ISO 27001 mancano completamente tutti i controlli GDPR e nella ISO 27701 tali controlli risultano parziali). Le scale di valutazione potranno essere mutuate dagli standard stessi adottati ed applicati. 

Rischio Residuo (Rr)

Dalla valutazione attribuita ai singoli controlli emergerà il fattore di correzione Kn che, applicato all’algoritmo di calcolo prescelto (su base standard), determinerà il livello di Rischio Residuo (Rr). Questo parametro, confrontato con i livelli di Rischio Accettabile (Ra) dell’organizzazione, determinerà le valutazioni in merito al ricorso preventivo all’Autorità Garante o l’accettabilità del trattamento da parte del Titolare. 

Una valutazione del rischio così congegnata dovrebbe risultare giocoforza esente da rilievi di autoreferenziazione e praticamente inattaccabile, grazie all’adesione trasparente a molteplici standard riconosciuti. Non ultimo, essa costituirà un prezioso strumento di accountability e di gestione nella mani del Titolare del Trattamento, una guida quanto più possibile ragionata ed oggettiva per ogni futura decisione che riguardi la compliance privacy dell’azienda o dell’ente.