Privacy e Data Protection Il dialogo con le imprese alla luce del nuovo Regolamento europeo sulla privacy Valutazione d impatto e gestione integrata dei rischi Andrea Foschi Bologna, 11 maggio 2017 1
REGOLAMENTO (UE) 2016/679 Art 24 Art. 24 - Responsabilità del titolare del trattamento 1.Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. 2.Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento. 3.L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento. 2
REGOLAMENTO (UE) 2016/679 Art 32 Art. 32 - Sicurezza del trattamento 1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2.Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3
Le domande da porsi Posso basarmi su codici di condotta (art.40) o devo andare verso un modello di valutazione dei rischi vero e proprio? Mi oriento verso un modello di analisi dei rischi classica o seguo strade semplificate che passano dall adozione di buone prassi, fra cui quelle indicate dal testo di legge? E possibile immaginare un analisi e gestione dei rischi per il GDPR avulsa da tutto il resto del contesto della sicurezza delle informazioni di business dell azienda? E sufficiente una semplice analisi dei rischi e relativa applicazione delle contromisure o è opportuno integrarla all interno di un più ampio sistema di gestione della sicurezza delle informazioni? 4
Quando è necessario il PIA (art. 35) Quando un tipo di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. a)una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b)il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; (ex sensibili e giudiziari) c)la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 5
I contenuti del PIA (art. 35) 7. La valutazione contiene almeno: a)una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento; b)una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; c)una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; d)le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. 6
Fasi di un processo PIA Valutazione della necessità (o opportunità) di sviluppare un PIA Identificazione dei trattamenti Identificazione del team di lavoro (DPO, Risk manager, esperti, ecc) Identificazione dei rischi Identificazione delle soluzioni (mitigazione dei rischi) Formalizzazione e approvazione del piano Applicazione del piano 7
Analisi e gestione del rischio in ambito 27001 Definizione dell ambito di validità del SGSI Ambito del SGSI Minacce Vulnerabilità impatti Definizione Asset Model Asset Model Approccio aziend. Alla gestione del Rischio Obiettivi di controllo Nuova organizzazione Strategie di business Analisi del rischio Gestione del rischio Selezione dei controlli da realizzare Piano di sicurezza Analisi del rischio Gestione del rischio Controlli selezionati e giustificati Livello strategico Livello tattico Livello operativo Nuovi standard implementativi 8
ISO31000 Standard di riferimento ISO31000 Fornisce i principi e le Linee guida generali sulla Gestione del Rischio E utilizzata per armonizzare i processi della gestione del rischio nelle norme attuali e future. Fornisce un approccio comune a supporto di norme che riguardano rischi e/o settori specifici e non sostituisce tali norme. 9
ISO/IEC 29134 A breve sarà rilasciata la norma ISO/IEC 29134 Privacy Impact Assessment Methodology La norma si basa sulla ISO31000 e definisce in modo più approfondito : Un processo articolato per lo sviluppo del Privacy Impact Assessment Un processo per il riesame periodico Un modello di rapporto per la valutazione Un esempio per la stima degli impatti Definisce inoltre un elenco di quasi 50 minacce su cui valutare gli impatti e le probabilità ( basato su scale di 4 valori) 10
ISO/IEC 29151 Entro fine 2017 sarà disponibile anche la norma ISO/IEC 29151 Code of practice for personally identifiable information protection. La norma definisce gli obiettivi di controllo, i controlli e le linee guida per l'attuazione dei controlli, per soddisfare i requisiti identificati da una valutazione di rischio e di impatto connessi alla protezione delle informazioni personali. Lo standard è basato sulle linee guida della ISO/IEC 27002 e recepisce oltre 110 controlli della ISO/IEC 27001 aggiungendone altri specifici. 11
Elementi caratteristici Analisi Rischi Analisi dei Rischi GDPR Asset Model Registro dei trattamenti Dimensioni di analisi R,I,D C -> GDPR Vulnerabilità e minacce GDPR, ISO27001, ISO29134, ISO29151 12
Modello R.I.D..C Disponibilità D.Lgs 231 Integrità Sicurezza Conformità Privacy & GDPR Riservatezza Riservatezza 13
Approccio all analisi rischi GDPR In conclusione l analisi dei rischi sui trattamenti GDPR : E in parte già inclusa nelle dimensioni di analisi RID qualora asset e minacce siano tutti correttamente definiti Per maggior sicurezza comunque può essere definita una (o più) dimensione/i di analisi (es. Conformità GDPR) per includere anche i rischi specifici legislativi E possibile partire dalle minacce base proposte da disciplinari sulla sicurezza delle informazioni (ISO27001) andandole a specializzare ulteriormente (GDPR, ISO29134, ISO29151) 14
R1 : Codici di condotta (art. 40) Le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli, allo scopo di precisare l'applicazione del presente regolamento, ad esempio relativamente a :... h) le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all'articolo 32; = effettuare dei PIA e relative analisi dei rischi per tipologia di attività e quindi per classi omogenee di business... e di rischio. = Riduzione dei costi, analisi rischi più accurata, maggior tutela 15
R2 : Approccio a requisiti minimi In un approccio molto semplificato dove si ipotizza che : mancanza di un controllo di sicurezza = vulnerabilità potrei concentrarmi direttamente sulle contromisure. Criptazione Pseudonimizzazi one Accountability Anonimizzazione Log Management Hardening Minimo Privilegio Autenticazione Strong, Multilevel, Federata Controllo Accessi Role Management SOD Ma : -Le misure identificate potrebbero essere non idonee -Non riesco a dimostrare una correlazione fra rischio e controlli -Potrei implementare contromisure eccessive Attenzione all effetto misure minime di sicurezza del Dlgs 196/03 16
R3 : Visione GDPR centrica? Un azienda che ha la necessità di fare dei PIA avrà, per tipologia di Business e complessità, sicuramente anche problematiche di sicurezza sulle informazioni di Business Nell ambito della compliance non esiste solo l aspetto del GDPR collegato alla sicurezza delle informazioni... non ultimo il D.Lgs 231 (ma anche altro) I costi per fare dei PIA estesi e relative analisi dei rischi non hanno ordini di grandezza differenti rispetto ad affrontare il tema della sicurezza delle informazioni in modo più esteso Include valenze anche di Business nella gestione della sicurezza delle informazioni rende più efficace anche la parte di compliance. 17
R4 : Sistema di gestione - SGSI Obiettivo del SGSI (27001) Insieme di regole e procedure per la progettazione e realizzazione di tutti gli aspetti di funzionamento, monitoraggio, revisione, mantenimento e miglioramento della Sicurezza delle Informazioni in azienda. Analisi del rischio Sicurezza dell informazione Fasi Gestione del rischio Specifiche per un Sistema di gestione documentato e orientato ai rischi di business dell azienda Si identificano le decisioni che l azienda deve intraprendere in funzione del rispetto dei tre requisiti della sicurezza (riservatezza, integrità, disponibilità e altro) l implementazione di un sistema di gestione integrato e completo sulla sicurezza (SGSI) innalza il livello di protezione delle informazioni 18
Riferimenti Andrea Foschi afoschi@soluzioniaziendali.net Soluzioni srl Via Andrea Ercolani, 9 40026 Imola info@soluzioniaziendali.net www.soluzioniaziendali.net 19