{"id":2220,"date":"2017-01-17T22:40:40","date_gmt":"2017-01-17T21:40:40","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=2220"},"modified":"2017-01-17T22:40:40","modified_gmt":"2017-01-17T21:40:40","slug":"pia-and-proposals-from-isoiec-29134-and-ico","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2017\/01\/17\/pia-and-proposals-from-isoiec-29134-and-ico\/","title":{"rendered":"PIA e le proposte di ISO\/IEC 29134 e ICO"},"content":{"rendered":"<p>Il Regolamento Europeo sulla privacy (Reg. UE 679\/2016) richiede, all\u2019articolo 35, che i titolari dei trattamenti redigano, preliminarmente, in alcuni casi particolari, una \u201cValutazione d&#8217;impatto sulla protezione dei dati\u201d (Privacy impact assessment o, pi\u00f9 brevemente, PIA), ossia un documento di valutazione del rischio relativo ad alcuni trattamenti.<\/p>\n<p>Rientrano nei casi soggetti all\u2019obbligo di PIA, le situazioni in cui si opera:<\/p>\n<ul>\n<li>una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, sulle quale vengano prese decisioni che hanno risvolti giuridici\u00a0 o che impattano significativamente su dette persone fisiche;<\/li>\n<li>il trattamento, su larga scala, di categorie particolari di dati personali (quelli che nel D.Lgs. 196\/2003 sono dati sensibili o giudiziari);<\/li>\n<li>la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.<\/li>\n<\/ul>\n<p>Il Garante si esprimer\u00e0 su quali siano i trattamenti per cui \u00e8 obbligatoriamente richiesto.<\/p>\n<p>Il Regolamento stabilisce un indice minimale di 4 punti (descrizione dei trattamenti; valutazione della necessit\u00e0 e proporzionalit\u00e0 dei trattamenti; valutazione dei rischi; misure di protezione previste) e fornisce alcuni dettagli in merito al processo da seguire (consultare il DPO, se previsto; raccogliere di opinioni; redazione del documento; riesami periodici o a seguito di cambiamenti).<\/p>\n<p>Nonostante ci\u00f2 permangono molti dubbi su come concretamente effettuare questa valutazione.<\/p>\n<p>\u00c8 ora in fase di bozza finale la norma internazionale ISO\/IEC 29134 dal titolo \u201c<em>Privacy Impact Assessment \u2013 Methodology<\/em>\u201d che sar\u00e0, probabilmente, pubblicata entro la primavera di quest\u2019anno.<\/p>\n<p>Questa norma propone:<\/p>\n<ul>\n<li>un processo molto articolato in 12 passi, a cui ne vanno aggiunti 2 di riesame periodico o ad hoc e di attuazione degli eventuali cambiamenti necessari;<\/li>\n<li>un indice in 6 punti per il rapporto di valutazione;<\/li>\n<li>un esempio per la stima degli impatti.<\/li>\n<\/ul>\n<p>In generale \u00e8 apprezzabile il tentativo di fornire un metodo di riferimento.<\/p>\n<p>La norma \u00e8, in vero, scritta in modo un po\u2019 confuso: usa, per esempio, la terminologia della ISO 31000 in modo non sempre corretto e confonde alcuni passi del processo di valutazione del rischio. Queste possono sembrare considerazioni troppo specialistiche ma, quando la norma tratta di \u201csorgenti di rischio\u201d e \u201cminacce\u201d come cose distinte (mentre, in realt\u00e0, sono la stessa cosa) e, poi, presenta come esempi di \u201crischi relativi alla privacy\u201d un elenco di minacce, allora diventa difficile comprendere come applicare questa norma.<\/p>\n<p>Quest\u2019ultima presenta anche un metodo sicuramente oneroso da usare: un elenco di quasi 50 minacce, per le quali vanno valutati i due parametri di \u201cimpatto\u201d e \u201cverosimiglianza\u201d (o probabilit\u00e0) secondo scale di 4 valori.<\/p>\n<p>Nel prossimo futuro (indicativamente a fine 2017) sar\u00e0 pubblicata la norma ISO\/IEC 29151 dal titolo \u201c<em>Code of practice for personally identifiable information protection<\/em>\u201d. Anche questa si presenta di difficile applicabilit\u00e0 concreta per aziende di piccole o medie dimensioni, visto che recepisce i 114 controlli della ISO\/IEC 27001 e ne aggiunge di ulteriori.<\/p>\n<p>Ben altro spessore ed utilit\u00e0 ha la pubblicazione \u201c<em>Conducting privacy impact assessments &#8211; code of practice<\/em>\u201d dell\u2019ICO, il Garante privacy del Regno Unito. In questo caso, il processo si articola in 6 passi, corrispondenti ai 6 capitoli del rapporto di valutazione, di cui alla fine \u00e8 fornito un modello di riferimento.<\/p>\n<p>Il processo \u00e8 composto dai seguenti passi:<\/p>\n<ol>\n<li>Identificare se la PIA \u00e8 necessaria;<\/li>\n<li>Descrivere i flussi di informazioni;<\/li>\n<li>Identificare i requisiti di privacy e i relativi rischi;<\/li>\n<li>Identificare e valutare le soluzioni per la privacy;<\/li>\n<li>Approvare i risultati della PIA;<\/li>\n<li>Integrare i risultati della PIA nel progetto.<\/li>\n<\/ol>\n<p>Ciascuno di questi passi va affrontato consultandosi, come necessario, con le parti interessate, interne ed esterne.<\/p>\n<p><em>\u00a0<\/em>Il documento dell\u2019ICO propone una lista di 20 rischi, da analizzare in modo qualitativo, e 10 misure di sicurezza \u201cpi\u00f9 verosimili\u201d\u00a0 e concrete in fase di applicazione.<\/p>\n<p><strong>Articolo scritto da Fabrizio Bottacin e Cesare Gallotti<\/strong><\/p>\n<p>Fabrizio Bottacin, ingegnere gestionale presso il Politecnico di Milano, dottore di Ricerca in Ingegneria Industriale e dell\u2019Informazione, ha frequentato il corso di Perfezionamento in \u201cDigital Forensics, Privacy and Data Protection, Cloud e Cyber Warfare\u201d presso l\u2019Universit\u00e0 degli Studi di Milano e, sempre presso l\u2019Universit\u00e0 degli Studi di Milano, il corso di perfezionamento in \u201cLa responsabilit\u00e0 da reato degli enti collettivi ex. D.Lgs. 231\/01\u201d. Offre servizi consulenziali in ambito manageriale, oltre che di Compliance e Risk Management presso aziende ed enti.<\/p>\n<p>Cesare Gallotti \u00e8 consulente, formatore e auditor per: sicurezza delle informaioni, qualit\u00e0, conformit\u00e0 normativa (privacy, 231, ecc.), conformit\u00e0 a standard internazionali (ISO 9001, ISO\/IEC 27001, ISO\/IEC 20000, ISO 22301, ecc.) e il miglioramento dei processi.<\/p>","protected":false},"excerpt":{"rendered":"<p>Il Regolamento Europeo sulla privacy (Reg. UE 679\/2016) richiede, all\u2019articolo 35, che i titolari dei trattamenti redigano, preliminarmente, in alcuni casi particolari, una \u201cValutazione d&#8217;impatto sulla protezione dei dati\u201d (Privacy impact assessment o, pi\u00f9 brevemente, PIA), ossia un documento di valutazione del rischio relativo ad alcuni trattamenti. Rientrano nei casi soggetti all\u2019obbligo di PIA, le\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2017\/01\/17\/pia-and-proposals-from-isoiec-29134-and-ico\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":73,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[24],"class_list":["post-2220","post","type-post","status-publish","format-standard","hentry","category-impact-risk-and-measures","tag-privacy-impact-assessment"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2220","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/73"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2220"}],"version-history":[{"count":6,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2220\/revisions"}],"predecessor-version":[{"id":2228,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2220\/revisions\/2228"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2220"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2220"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2220"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}