Analisi dei Rischi Privacy e Analisi dei Rischi di Sicurezza delle Informazioni a confronto
Tra le principali novità del GDPR troviamo il principio di responsabilizzazione (accountability) che pone in capo al Titolare l’obbligo di valutare i rischi di impatto che il trattamento può avere sulla libertà e sui diritti degli interessati e individuare, di conseguenza, le misure tecniche e organizzative adeguate a mitigare tali rischi.
Chi lavora nell’information Security da tanti anni ha avuto modo di sperimentare e applicare diverse metodologie per affrontare l’analisi dei rischi per la Sicurezza delle Informazioni: qualitative, quantitative, data centriche, asset centriche, basate sugli standard ISO (27005, 31000). Con l’avvento del GDPR l’analisi dei rischi in azienda deve essere estesa anche ai trattamenti dei dati personali e in tanti stiamo cercando di mettere a fattor comune e di mutuare le esperienze pregresse di valutazione dei rischi per la Sicurezza delle Informazioni con quanto richiesto in termini di analisi dei rischi per la Privacy.
Nel GDPR l’analisi dei Rischi “Privacy” è oggetto di approfondimento in diversi articoli e, al fine di mettere a confronto l’analisi dei rischi “Privacy” e l’analisi dei rischi di Sicurezza delle Informazioni, ci focalizziamo in particolare su alcuni punti dell’Art. 32 – Sicurezza del Trattamento:
- Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) “omissis”
- Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
A livello generale tutte le metodologie di valutazione dei rischi convergono sul fatto che il Rischio, per essere descritto, deve essere sempre almeno associato ad una tripletta di informazioni: Minaccia, Vulnerabilità e Impatto. Per quanto riguarda il rischio “Privacy” descritto nell’Art. 32, possiamo convenire sul fatto che il rischio Privacy può essere misurato in termini di probabilità che una Minaccia di Sicurezza sfrutti una Vulnerabilità di Sicurezza determinando una violazione in termini di Riservatezza, Integrità e Disponibilità (RID) dei dati personali, tale da determinare impatti sui diritti e le libertà degli interessati/persone fisiche.
Pertanto, in relazione all’Art. 32, sarà possibile mutuare dalle pratiche di analisi dei Rischi della Sicurezza delle Informazioni le metodiche per la valutazione sia delle Minacce di Sicurezza che delle Vulnerabilità di Sicurezza, mentre sarà necessario valutare l’adozione di una serie di criteri, aggiuntivi e diversi rispetto alla Sicurezza delle Informazioni, per quanto riguarda la valutazione dei rischi e degli impatti sui diritti e le libertà degli interessati/persone fisiche.
Di seguito sviluppiamo alcune considerazioni utili allo scopo di approfondire l’analisi dei criteri da adottare per la valutazione dei rischi e degli impatti sui diritti e le libertà degli interessati/persone fisiche, ponendoli a confronto con i criteri che sono utilizzati nell’ambito dell’Analisi dei Rischi di Sicurezza delle Informazioni. Le considerazioni di seguito riportate sono frutto di esperienze concrete di applicazione delle metodologie di valutazione sia dei Rischi di Sicurezza delle Informazioni che dei Rischi “Privacy” e non sono da considerarsi esaustive ma solo propedeutiche a instaurare un confronto trasparente tra i professionisti del settore.
- Oggetto da tutelare
Per la Sicurezza delle Informazioni oggetto di tutela è il Business Aziendale, e di conseguenza le informazioni medesime e tutti gli asset aziendali (persone comprese) che concorrono alla elaborazione delle Informazioni necessarie nei processi di Business.
Per la Privacy oggetto di tutela sono gli interessati e le persone fisiche, i loro diritti e libertà fondamentali rispetto ai trattamenti dei dati personali.
- Il contesto in cui eseguire la valutazione rischi
Per la Sicurezza delle Informazioni il contesto è determinato dai processi o servizi di Business e i relativi asset a supporto.
Per la Privacy il contesto è rappresentato dai trattamenti dei dati personali e i relativi asset a supporto.
- Criteri per la valutazione degli impatti
La Sicurezza delle Informazioni valuta generalmente gli impatti sul Business in termini patrimoniali di perdite economiche, perdite di operatività, danneggiamento della reputazione, etc.
La Privacy valuta l’impatto sull’interessato/sulle persone fisiche in relazione alla perdita dei diritti e delle libertà fondamentali: impatto di tipo fisico, morale e materiale.
- Criteri per la valutazione dei rischi
La Sicurezza delle Informazioni può valutare il rischio utilizzando scale di natura diversa: qualitativa, quantitativa, semi-qualitativa. L’azienda ha la facoltà di scegliere i criteri che preferisce.
Nel GDPR non sono espresse indicazioni particolari in merito a scale di valutazione dei rischi da usare, in generale si fa riferimento a criteri di natura qualitativa, tipo “rischio elevato”, vedi in special modo Articoli 32, 34 e 35.
- Criteri per la determinazione del rischio ritenuto accettabile
La Sicurezza delle Informazioni gestisce i rischi basandosi sul concetto di rischio ritenuto accettabile e calcolato in base a un confronto tra i costi derivanti dal rischio non abbattuto e i costi derivanti dalle azioni per mitigare tali rischi. I costi per il trattamento del rischio non dovranno mai superare le perdite economiche a cui il rischio espone l’azienda laddove non venga mitigato. L’azienda ha la massima discrezionalità nel determinare il livello di accettabilità del rischio.
Nel GDPR il concetto di rischio accettabile di fatto non sussiste, in quanto il rischio sui diritti e le libertà fondamentali degli interessati non è un rischio la cui ownership è in capo all’azienda che pone in essere i trattamenti. Il rischio improntato sull’interessato (e non sul Titolare), non è nella disponibilità dell’azienda. In altre parole l’azienda non può decidere di gestire il rischio (per esempio accettandolo o trasferendolo) come se fosse un rischio proprio. Il Rischio sui diritti e le libertà fondamentali degli interessati/persone fisiche non può essere accettato dal Titolare e quindi deve essere comunque prossimo allo zero.