Il conto alla rovescia per l’adeguamento al GDPR, la normativa più discussa sul web, segna più o meno tre mesi. Ed è un dato di fatto che alcune aziende navighino ancora in alto mare.
Una delle aree che seguita a suscitare maggior dibattito è quella che riguarda gli art. 24 e 35, relativi alla valutazione dei possibili impatti provocati dai trattamenti compiuti sugli interessati. Il regolamento infatti, a questo proposito, definisce genericamente alcuni fattori da tenere in considerazione per svolgere la valutazione. Parallelamente però getta totalmente nel panico le PMI, che con un processo strutturato di analisi dei rischi non hanno molta familiarità, ed in alcuni casi subiscono l’effetto fortemente negativo che l’incertezza al riguardo genera sul mercato della consulenza: ampio margine d’azione per professionisti competenti ma anche per veri e propri banditi.
Il giorno 29 dello scorso mese di gennaio l’ENISA, Agenzia Europea per la Sicurezza delle Reti e delle Informazioni, ha pubblicato un Manuale sulla sicurezza per il trattamento dei dati personali rivolto alle PMI, fornendo finalmente un approccio pratico (e non eccessivamente oneroso) alla valutazione d’impatto, alla relativa analisi dei rischi e alle misure minime di sicurezza da gestire.
Le attività proposte sono strutturate in quattro step fondamentali: una ricognizione del contesto e l’individuazione dei trattamenti compiuti, una valutazione del potenziale impatto dei trattamenti compiuti sugli interessati, una valutazione delle probabilità di accadimento di alcuni scenari individuati e la valutazione del rischio sulla base dell’interazione degli impatti e delle probabilità rilevati. Infine sono identificate le contromisure ed i controlli minimi (dall’Annex A della ISO/IEC 27001:2013, che definisce i requisiti per un sistema di gestione della sicurezza delle informazioni) suggeriti in base al livello di rischio valutato.
La metodologia
Più precisamente, per individuare gli elementi sui quali svolgere l’analisi, è necessario porre in relazione alcune informazioni, quali: le classi di trattamenti compiuti, le tipologie di dati personali trattati, le finalità, gli strumenti utilizzati per l’elaborazione, dove avvengono, le categorie di interessati coinvolti ed infine la collocazione dei dati.
Nel secondo step, relativo all’analisi d’impatto, lo stesso viene considerato in relazione agli aspetti di disponibilità, integrità e riservatezza, impegnando una scala di classificazione che prevede un livello basso, uno medio, uno elevato e un ultimo livello molto elevato.
Nel terzo step la valutazione delle probabilità viene declinata secondo alcuni quesiti aggregati in quattro categorie principali di scenari: Reti e risorse tecniche, processi e procedure relazionati con il trattamento di dati personali, persone e organizzazioni implicate nei trattamenti, settore e portata dei trattamenti compiuti. Per ciascun quesito, la valutazione viene compiuta mediante l’impiego di una scala che prevede tre livelli di probabilità: basso, medio ed elevato.
Nel quarto step, il livello di rischio viene calcolato dall’interazione del livello d’impatto con il livello di probabilità definiti.
Punti di forza
E’ una metodologia facile e comprensibile, certamente commisurata alla disponibilità di risorse delle PMI. Inoltre traccia un esplicito riferimento – non si comprende perché taciuto in molti ambienti istituzionali, specialmente quelli nazionali – con la norma internazionale ISO sulla sicurezza delle informazioni, segnando un passo importante verso la standardizzazione delle migliori pratiche da adottare.
Punti di debolezza
Qualcuno l’ha definita un po’ debole. Ed è vero. Perché nel caso si rilevasse un livello di rischio differente da quello basso, probabilmente il lavoro di “messa in sicurezza” dovrebbe essere un po’ più ampio e strutturato rispetto alle indicazioni fornite nel testo.
Inoltre il primo step di lavoro, riferito al tracciamento delle relazioni tra gli elementi del contesto, avrebbe potuto essere oggetto di un lavoro maggiormente dettagliato e meglio strutturato. Considerando anche il fatto che è proprio il punto iniziale del lavoro sul quale alcune organizzazioni inciampano subito, perdendo per strada qualche pezzo importante.
Non resta che augurare un buon lavoro agli addetti, rammentando che l’applicazione del regolamento generale per la protezione dei dati personali non rappresenta solamente un obbligo, bensì uno strumento essenziale per garantire un diritto fondamentale delle persone, quello alla privacy, adeguando l’ambito normativo ad un contesto profondamente modificato dal digitale e sino ad ora così poco presidiato rispetto ai cambiamenti (specie con riferimento a quelli tecnologici) avvenuti.