Il Regolamento Europeo sulla privacy (Reg. UE 679/2016) richiede, all’articolo 35, che i titolari dei trattamenti redigano, preliminarmente, in alcuni casi particolari, una “Valutazione d’impatto sulla protezione dei dati” (Privacy impact assessment o, più brevemente, PIA), ossia un documento di valutazione del rischio relativo ad alcuni trattamenti.
Rientrano nei casi soggetti all’obbligo di PIA, le situazioni in cui si opera:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, sulle quale vengano prese decisioni che hanno risvolti giuridici o che impattano significativamente su dette persone fisiche;
- il trattamento, su larga scala, di categorie particolari di dati personali (quelli che nel D.Lgs. 196/2003 sono dati sensibili o giudiziari);
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Il Garante si esprimerà su quali siano i trattamenti per cui è obbligatoriamente richiesto.
Il Regolamento stabilisce un indice minimale di 4 punti (descrizione dei trattamenti; valutazione della necessità e proporzionalità dei trattamenti; valutazione dei rischi; misure di protezione previste) e fornisce alcuni dettagli in merito al processo da seguire (consultare il DPO, se previsto; raccogliere di opinioni; redazione del documento; riesami periodici o a seguito di cambiamenti).
Nonostante ciò permangono molti dubbi su come concretamente effettuare questa valutazione.
È ora in fase di bozza finale la norma internazionale ISO/IEC 29134 dal titolo “Privacy Impact Assessment – Methodology” che sarà, probabilmente, pubblicata entro la primavera di quest’anno.
Questa norma propone:
- un processo molto articolato in 12 passi, a cui ne vanno aggiunti 2 di riesame periodico o ad hoc e di attuazione degli eventuali cambiamenti necessari;
- un indice in 6 punti per il rapporto di valutazione;
- un esempio per la stima degli impatti.
In generale è apprezzabile il tentativo di fornire un metodo di riferimento.
La norma è, in vero, scritta in modo un po’ confuso: usa, per esempio, la terminologia della ISO 31000 in modo non sempre corretto e confonde alcuni passi del processo di valutazione del rischio. Queste possono sembrare considerazioni troppo specialistiche ma, quando la norma tratta di “sorgenti di rischio” e “minacce” come cose distinte (mentre, in realtà, sono la stessa cosa) e, poi, presenta come esempi di “rischi relativi alla privacy” un elenco di minacce, allora diventa difficile comprendere come applicare questa norma.
Quest’ultima presenta anche un metodo sicuramente oneroso da usare: un elenco di quasi 50 minacce, per le quali vanno valutati i due parametri di “impatto” e “verosimiglianza” (o probabilità) secondo scale di 4 valori.
Nel prossimo futuro (indicativamente a fine 2017) sarà pubblicata la norma ISO/IEC 29151 dal titolo “Code of practice for personally identifiable information protection”. Anche questa si presenta di difficile applicabilità concreta per aziende di piccole o medie dimensioni, visto che recepisce i 114 controlli della ISO/IEC 27001 e ne aggiunge di ulteriori.
Ben altro spessore ed utilità ha la pubblicazione “Conducting privacy impact assessments – code of practice” dell’ICO, il Garante privacy del Regno Unito. In questo caso, il processo si articola in 6 passi, corrispondenti ai 6 capitoli del rapporto di valutazione, di cui alla fine è fornito un modello di riferimento.
Il processo è composto dai seguenti passi:
- Identificare se la PIA è necessaria;
- Descrivere i flussi di informazioni;
- Identificare i requisiti di privacy e i relativi rischi;
- Identificare e valutare le soluzioni per la privacy;
- Approvare i risultati della PIA;
- Integrare i risultati della PIA nel progetto.
Ciascuno di questi passi va affrontato consultandosi, come necessario, con le parti interessate, interne ed esterne.
Il documento dell’ICO propone una lista di 20 rischi, da analizzare in modo qualitativo, e 10 misure di sicurezza “più verosimili” e concrete in fase di applicazione.
Articolo scritto da Fabrizio Bottacin e Cesare Gallotti
Fabrizio Bottacin, ingegnere gestionale presso il Politecnico di Milano, dottore di Ricerca in Ingegneria Industriale e dell’Informazione, ha frequentato il corso di Perfezionamento in “Digital Forensics, Privacy and Data Protection, Cloud e Cyber Warfare” presso l’Università degli Studi di Milano e, sempre presso l’Università degli Studi di Milano, il corso di perfezionamento in “La responsabilità da reato degli enti collettivi ex. D.Lgs. 231/01”. Offre servizi consulenziali in ambito manageriale, oltre che di Compliance e Risk Management presso aziende ed enti.
Cesare Gallotti è consulente, formatore e auditor per: sicurezza delle informaioni, qualità, conformità normativa (privacy, 231, ecc.), conformità a standard internazionali (ISO 9001, ISO/IEC 27001, ISO/IEC 20000, ISO 22301, ecc.) e il miglioramento dei processi.