Uno dei cambiamenti di rotta più significativi introdotti dal nuovo Regolamento UE 2016/679, noto anche come GDPR (General Data Protection Regulation), è la presenza diffusa di forti richiami al concetto di rischio. Va detto che questa modifica è in linea con le più moderne best practice a livello internazionale che vedono, ad esempio, scendere fortemente in campo il rischio in tutti i sistemi di gestione emessi da ISO, l’International Organization for Standardization.
Nel testo del GDPR troviamo il rischio è un elemento discriminante per il Titolare per decidere se comunicare o meno una violazione dei dati personali agli interessati (art.34), per le PMI per il mantenimento di un registro dei trattamenti (art.30), per decidere se adottare misure di sicurezza tecniche e organizzative (art. 32) ed effettuare valutazioni d’impatto sulla protezione dei dati (art.35) e, conseguentemente, consultazioni preventive (art.36).
Anche la figura emergente del Responsabile della Protezione Dati (Data Protection Officer – DPO) è esplicitamente chiamata a considerare i rischi nello svolgimento dei propri compiti.
Questa impostazione, collegata all’assenza di imposizione di misure tecniche specifiche quali quelle a cui l’allegato B del d.lgs 196/2003 ci ha abituato per oltre 10 anni, lascia finalmente intravedere un approccio orientato a favorire la presa di coscienza dei rischi in cui si incorre con le attività che prevedono il trattamento dei dati personali e la scelta di contromisure adeguate a contrastarli. Il rovescio della medaglia è che, a fronte della piena discrezionalità, sarà facile aspettarsi approcci alla gestione del rischio anche opinabili, soprattutto da parte di quelle PMI che normalmente non possono contare su competenze professionali dedicate o selezionate in materia.
La GDPR, che attinge ad esperienze maturate in anni di attività di protezione dei dati personali in Europa ma anche nel mondo, non punta alla mera introduzione di un procedura che preveda l’utilizzo di un foglio Excel, più o meno colorato, per dimostrare che “qualcosa si è fatto” in merito al rischio, ma vuole estendere la cultura del rischio inteso come driver delle decisioni del management anche nel contesto della protezione dei dati personali.
Per questo è necessario innanzitutto decidere come si vuole gestire il rischio relativo alla protezione dei dati personali, definendo chi lo deve valutare, il metodo da utilizzare, quando svolgere la valutazione e quali sono le interazioni con le altre tipologie di rischio (prima tra tutte quella molto affine con i rischi relativi alla sicurezza delle informazioni).
Chi deve valutare il rischio
Se non c’è una persona con la responsabilità di valutare il rischio, e conseguentemente che decida le azioni di trattamento, sì potrebbe incorrere in difficoltà significative. Vista la numerosità di obblighi richiesti dal GDPR è lecito aspettarsi che molti Titolari nomineranno un DPO oppure un altro soggetto apicale con responsabilità in materia di protezione dei dati personali. Tale soggetto, opportunamente dotato delle risorse necessarie, è a questo punto il candidato ideale per promuovere la valutazione del rischio e per decidere quali interventi sia necessario effettuare in base alle sue risultanze, coinvolgendo eventualmente in questo passaggio lo stesso Titolare in veste di decisore ultimo.
Come valutare il rischio
Esistono un’infinità di metodologie per la valutazione del rischio, ma è necessario innanzitutto capire a quale rischio fanno riferimento. I rischi indicati dal GDPR sono fondamentalmente quelli per i diritti e le libertà degli interessati, riconducibili ai principi espressi nell’articolo 5 del GDPR. Questi principi, pur essendo un numero limitato, abbracciano diversi temi di vastità considerevole quali la semplice conformità al regolamento, una serie di principi etici e arrivano a referenziare esplicitamente diversi aspetti chiave per la sicurezza delle informazioni.
Metodologie per la valutazione del rischio così estese non sono (ancora) significativamente diffuse sul mercato e quelle più affini esistenti, in prevalenza indirizzate alla sicurezza delle informazioni, avranno bisogno di diverse integrazioni per poter essere impiegate in modo efficace all’interno di questo contesto.
Come principio guida è comunque sempre preferibile utilizzare qualcosa di consolidato, solido e referenziabile a livello metodologico (ISO/IEC pubblicherà ad esempio la norma internazionale 29134 entro quest’anno) piuttosto che delle creazioni “fatte in casa” che troppo spesso non sono basate su sufficienti esperienze professionali specifiche in materia. Vale la pena sottolineare che la base metodologica per effettuare le varie attività richieste dal GDPR (valutazioni di impatto, valutazioni del rischio, privacy by design/default) non deve essere sempre diversa, anzi.
Quando valutare il rischio
Secondo il GDPR i momenti di valutazione del rischio sono diversi e devono seguire perlomeno due percorsi distinti. Un insieme base di misure deve essere individuato e stabilito come applicabile per tutti i trattamenti di dati personali che si andranno a innescare, indipendentemente dalle loro caratteristiche. Quelli che rientrano in una serie di condizioni circostanziate nell’articolo 35 dovranno poi essere soggetti a una valutazione d’impatto preliminare alla loro attivazione, subordinandola a un contenimento di eventuali rischi (solitamente si referenzia questo concetto con il “rischio accettabile”). Questa valutazione deve inoltre essere riesaminata nel caso cambino le condizioni analizzate.
L’articolo 32, inoltre, richiede l’esecuzione di una serie di attività che possono essere adeguatamente svolte attraverso l’esecuzione periodica di un più ampio processo di valutazione del rischio relativo alla protezione dei dati personali (con fortissimi richiami alla sicurezza delle informazioni) il quale dovrebbe completare il quadro, abilitando un presidio e un aggiornamento continuo della situazione rispetto ai cambiamenti che intervengono naturalmente nel contesto di rischio di qualsiasi organizzazione.
Come relazionare i rischi tra loro
Il rischio relativo alla protezione dei dati personali, come già sottolineato, non è il solo che un’organizzazione deve affrontare. Nello specifico, quelle più strutturate, andranno incontro a richieste interne ed esterne di mettere questo rischio in corretta relazione con gli altri, primo tra tutti quello relativo alla sicurezza delle informazioni, ma anche con i rischi operativi e di non conformità.
Questo passaggio sicuramente non sarà immediato, anche se la dimensione delle sanzioni comminabili sulla base del GDPR, ora collegate ad un tetto massimo del 4% del fatturato globale di un’azienda, dovrebbero contribuire a creare un’attenzione decisamente maggiore sul tema, considerando anche la disponibilità di risorse per affrontarlo.
L’entrata in vigore del GDPR a maggio 2018 lascia quasi due anni di tempo per indirizzare adeguatamente le novità da esso introdotte. La gestione del rischio relativo alla protezione dei dati personali, vista la sua centralità, è senza dubbio uno di quelli su cui iniziare a lavorare per primo.
*Fabio Guasconi è il Presidente di BL4CKSWAN, Presidente di CT 510 “Sicurezza delle Informazioni” UNINFO e Membro del Comitato Direttivo di CLUSIT
