domenica, 25 ottobre 2020

Articoli

Scarica allegato

Salute, privacy, GDPR: rivalutare i rischi

07/10/2020

di Massimo Montanile - DPO, Membro del comitato scientifico Associazione Scientifica Sanità Digitale (ASSD), Delegato Federprivacy Roma, fellow dell’Istituto Italiano per la Privacy

Molti, in questo periodo, si pongono giustamente domande sul bilanciamento tra privacy e salute. In estrema sintesi i diritti di tutela dei dati personali recedono rispetto a quelli della salute pubblica e del singolo cittadino: ciò è contemplato nell’impostazione del diritto europeo. Tuttavia, una volta stabilita la liceità di un trattamento alla luce di questa considerazione, rimane l’obbligo del rispetto del GDPR che ovviamente non viene abolito, nemmeno in periodo di pandemia... Questo è un punto importante. Con ciò che ne consegue in termini di liceità dei trattamenti, informativa, misure di sicurezza da adottare.

La decisione più invasiva delle libertà individuali è stata senz’altro il lockdown, una misura restrittiva che ci ha precipitati in una situazione mai vissuta in precedenza, se non dalla generazione dei nati prima del 1945 (la cd. “Silent Generation”). Sono radicalmente mutati gli schemi operativi del nostro modo di lavorare, con l’introduzione del cd. lavoro agile. Se per certi versi il lockdown è stato l’occasione per rimettersi in discussione e trovare il coraggio per abbandonare la propria “comfort zone” e cercare nuovi paradigmi, dall’altro lato ha fatto emergere alcune disparità riconducibili al cd. digital divide, il divario esistente tra chi ha accesso effettivo alle tecnologie dell’informazione (in particolare personal computer, smartphone e Internet) e chi ne è escluso, in modo parziale o totale. 

Aziende smart, gestione smart

Le aziende più smart si sono prontamente organizzate, dotando ad esempio ciascun dipendente di tutto il necessario per lavorare da casa e potenziando anche la vpn, per consentire di farlo in sicurezza. Uno sforzo  ben ripagato, poiché in generale ha reso possibile di continuare a svolgere la propria attività in soluzione di continuità con il lavoro onsite, almeno per le funzioni di staff. Tale pronta risposta è stata ben gestita solo dalle organizzazioni già strutturalmente organizzate per la gestione della Privacy, con processi, organizzazione e risorse operanti armonicamente nell’ambito di un SGP – Sistema di Gestione per la Privacy. Il lockdown ha visto in prima linea il DPO - Data Protection Officer, per la messa a punto degli strumenti necessari per la corretta gestione, dal punto di vista privacy, dell’adozione delle misure di contrasto alla diffusione del Sars-Cov2 messe in atto dall’azienda.

Rivalutare i rischi

In estrema sintesi, è stato necessario innanzitutto rivalutare i rischi indotti dall’attuazione del lavoro agile, con dei “run” dedicati di Analisi Rischi. Non solo in termini di Health&Safety, ma anche e soprattutto, per quanto di interesse in questo lavoro, in termini di Sicurezza delle Informazioni e di Privacy. Tali valutazioni dei rischi hanno sicuramente evidenziato un maggiore livello di esposizione ai rischi RID dei dati trattati. Normalmente la risposta è stata di dotare i lavoratori degli strumenti necessari per poter lavorare da casa: PC preconfigurato, router, istruzioni dedicate per un loro corretto utilizzo, attivazione/potenziamento delle connessioni vpn per consentire scambi dati in sicurezza.

ISO/IEC 27001

Questi aspetti sono ben coperti dalla ISO/IEC 27001. Come noto, i requisiti, gli obiettivi di controllo e i controlli della ISO/IEC 27001 sono stati recentemente integrati ed estesi con la pubblicazione dello standard ISO/IEC 27701, che specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un PIMS (Privacy Information Management System, o Sistema di Gestione per la Privacy). Il GDPR (all’art. 42) incoraggia l’istituzione di meccanismi di certificazione della protezione dei dati per dimostrare la conformità al GDPR dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Le caratteristiche degli Organismi di Certificazione (OdC) che certificano la conformità dei trattamenti di dati personali conformi al GDPR sono stabilite al successivo art. 43, che chiarisce che tali OdC debbano essere accreditati conformemente alla ISO/IEC 17065, che definisce i requisiti propri degli OdC che certificano prodotti, processi e servizi. La ISO/IEC 27001 (e la sua estensione ISO/IEC 27701) non sono però in linea con l’art. 43 del GDPR; infatti esse sono riferite a Sistemi di Gestione e, come tali, possono essere certificate da Organismi di Certificazione accreditati secondo la ISO/IEC 17021-1, che definisce i requisiti degli organismi che forniscono audit e certificazione di sistemi di gestione. 

Schema ISDP©10003

Lo schema di certificazione ISDP©10003, accreditato in accordo con la norma EN ISO/IEC 17065:2012, è stato analizzato nell’ambito dello Studio della Commissione Europea sui meccanismi di certificazione GDPR ex artt.42 e 43, condotto dalla Tilburg University, che ne ha sancito la conformità allo scopo di cui all’art. 42 del GDPR. Per un approccio più strutturato saranno dunque evidenziati non solo i requisiti ed i controlli ISO 27701 interessati dalle azioni attuate per la gestione del COVID, ma si ritiene utile introdurre nel contesto anche lo schema ISDP©10003.

Framework Nazionale per la Cybersecurity 

In Italia nel 2015 è stato presentato il Framework Nazionale per la Cybersecurity, che è stato sviluppato dalla proficua collaborazione tra imprese private, accademia, enti pubblici. Esso si basa sul Framework del Nist, con accorgimenti che ne migliorano l’efficacia applicativa. Nel volume Un modello per la sicurezza dei dati personali nell’era digitale sono proposte le integrazioni alle Informative References del Framework Core; esse si concentrano soprattutto sulle nuove Category e Subcategory introdotte successivamente nel core del Framework per estendere quegli aspetti riguardanti la protezione dei dati personali che non erano sufficientemente coperti nel Framework originale.

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato. 

Scarica allegato


Tutti gli articoli