[GUIDA] Come fare la valutazione dei rischi di un trattamento di dati personali

[GUIDA] Come fare la valutazione dei rischi di un trattamento di dati personali
Con questo articolo analizziamo un metodo semplificato di calcolo dei rischi di un trattamento di dati personali basato sul documento proposto da Enisa, l’agenzia dell’Unione Europea per la sicurezza delle reti e dell'informazione.

Come indicato nel nostro articolo sulla valutazione di impatto uno dei passaggi fondamentali per comprendere se per un determinato trattamento sia necessario effettuare una DPIA è calcolarne il relativo rischio rispetto agli interessati.

Questa prima valutazione effettuata sul trattamento ci permetterà di concentrare l’eventuale redazione della valutazione di impatto richiesta dall’articolo 35 del GDPR solamente per i trattamenti per cui si rivelerà realmente necessaria.

Il metodo si suddivide nelle seguenti quattro fasi:

  • Definizione dell’operazione di trattamento
  • Comprensione e valutazione dell’impatto del trattamento
  • Definizione della probabilità di accadimento  delle minacce
  • Calcolo del rischio generale sul trattamento

Una volta terminata questa valutazione il titolare del trattamento è in grado di:


  • Produrre un documento generale di valutazione dei rischi
  • Scoprire quali trattamenti presentano un rischio elevato
  • Definire le misure di sicurezza adeguate ai rischi individuati
  • Stabilire per quali trattamenti rimane un rischio elevato anche dopo l’applicazione delle misure di sicurezza

Fase 1 - Definire il trattamento

Nella prima fase si procede alla descrizione del trattamento indicando:

  • Le operazioni svolte sui dati (es. raccolta, registrazione, conservazione, ecc..)
  • Quali dati tratto e perché (tipologie di dati trattati e finalità del trattamento)
  • Cosa uso per trattarli e dove (asset utilizzati e loro ubicazione)
  • Categorie di interessati (dipendenti, clienti, fornitori, ecc..)
  • Destinatari dei dati (interni e/o esterni, comunicazioni e/o trasferimenti)

Fase 2 - Comprendere e valutare l’impatto

La seconda fase, volta a valutare l’impatto sugli interessati, parte dall’analisi dello stato di sicurezza del trattamento in particolare rispetto ai seguenti parametri indicati nell'articolo 32 del GDPR:

  • Riservatezza
  • Disponibilità
  • Integrità

Trattandosi di una valutazione realizzata a priori si prende in considerazione un evento ipotetico in cui i parametri sopra elencati vengono a mancare. Quindi un trattamento privo dei requisiti di riservatezza, disponibilità ed integrità.

Figurando una situazione del genere è possibile assegnare (quantificare) un primo livello di impatto in relazione all’eventuale mancanza di ciascuno dei tre parametri.

I livelli di impatto è sugli interessati e sono i seguenti:

  • Basso: l’impatto è basso quando gli interessati andranno incontro a disagi minori che supereranno senza problemi (maggior tempo nella compilazione, fastidi, irritazioni ecc...)
  • Medio: l’impatto è medio quando gli interessati possono avere significativi disagi che saranno in grado di superare nonostante alcune difficoltà (costi, stress, mancanza di comprensione ecc...)
  • Alto: l’impatto è alto quando potranno esserci conseguenze significative che gli interessati dovrebbero riuscire a superare anche se con gravi difficoltà (liste nere di istituti finanziari, perdita di lavoro, danni alla proprietà, citazioni in giudizio, ecc...)
  • Molto alto: l’impatto è molto alto quando gli interessati potranno subire conseguenze significative o irreversibili che non saranno in grado di superare (incapacità di lavorare, disturbi psicologici o fisici a lungo termine)

Terminata questa operazione il trattamento presenterà in relazione ai 3 parametri considerati, diversi livelli d’impatto.

A questo punto l’operazione per calcolare il livello generale d’impatto è semplicissima: basterà prendere in considerazione il più alto dei tre valori ottenuti.

Valuta il rischio privacy del trattamento e compila la DPIA

UTOPIA è il software pensato per gestire tutti gli adempimenti della normativa privacy: registro dei trattamenti e informative ma anche valutazione dei rischi privacy, DPIA e gestione dei data breach.

provalo gratis...
data-breach

Fase 3 - Definire le possibili minacce e valutare le probabilità di occorrenza della minaccia

Per ogni area di valutazione vengono indicate 5 domande con relativa spiegazione che permettono di ragionare e focalizzare l’attenzione su aspetti specifici in modo da stabilire per ogni singola area, un livello di probabilità di accadimento di una minaccia.

Valori di probabilità di occorrenza della minaccia

Basso = 1  Medio = 2  Alto = 3

Basso: è improbabile che la minaccia si materializzi

Medio: c’è una ragionevole possibilità che la minaccia si materializzi

Alto: la minaccia potrebbe materializzarsi

La valutazione delle minacce è svolta su quattro aree aziendali:

  • Risorse di rete e tecniche
  • Processi e procedure
  • Parti e persone coinvolte
  • Settore e scala del trattamento

Per ogni area si stabilisce il livello di probabilità di occorrenza della minaccia con punteggio da 1 a 3.

Risorse di rete e tecniche

Qualche parte del trattamento viene eseguita tramite internet?

Nel caso aumentano le minacce esterne soprattutto se raggiungibile via web ed accessibile a tutti.

Viene fornito l’accesso dall’esterno al sistema interno di trattamento dati tramite internet?

Nel caso aumentano le minacce esterne e anche le probabilità di abuso da parte degli utenti.

Il sistema di trattamento è interconnesso con altro sistema o servizio IT?

Possono nascere ulteriori minacce per difetti di sicurezza dei sistemi connessi ed eventuali altre persone non autorizzate.

Le persone non autorizzate possono accedere facilmente all’ambiente di trattamento?

Importanza dell’ambiente fisico di trattamento ed eventuali accessi da parte di risorse non autorizzate.

Il sistema di trattamento è progettato e mantenuto senza seguire le migliori prassi?

Progettazione, implementazione e manutenzione del sistema che possono comportare ulteriori rischi.

Processi e procedure

Ruoli e responsabilità sono vaghi e non chiaramente definiti?

Il trattamento potrebbe diventare incontrollato con uso non autorizzato delle risorse e compromissione della sicurezza complessiva.

L’uso della rete, del sistema e delle risorse non è chiaramente definito?

Possono sorgere minacce a causa di incomprensioni o utilizzi impropri, una chiara definizione delle politiche può ridurre potenziali rischi.

I dipendenti trattano dati personali con i loro dispositivi?

Aumenterebbe il rischio di perdita o accesso non autorizzato ma anche introduzione di bug o virus a causa del mancato controllo a livello centrale.

I dipendenti sono autorizzati a trasferire, archiviare o trattare dati personali al di fuori dei locali dell’organizzazione?

Nascerebbero rischi aggiuntivi legati a canali di trasmissione insicuri e all’uso non autorizzato di queste informazioni.

Le attività di trattamento sono eseguite senza la creazione di file di registro?

La presenza di tali meccanismi diminuirebbe l’abuso intenzionale o accidentale di processi, procedure e risorse.

Parti e persone coinvolte

Il trattamento è eseguito da un numero indefinito di dipendenti?

Aumentano le possibilità di abuso a causa del fattore umano: definire chi ne ha bisogno limitando l’accesso a loro contribuisce alla sicurezza del sistema.

Qualche parte di trattamento è eseguita da una terza parte?

Se sono presenti contraenti esterni possono essere introdotte altre minacce, vanno selezionati adeguatamente per offrire il massimo della sicurezza definendo quale parte del processo è loro assegnata e mantenendo un alto livello di controllo.

Gli obblighi delle parti o persone coinvolte sono ambigui e non chiaramente definiti?

Se i dipendenti non sono informati sui loro obblighi aumentano le minacce derivanti da un uso improprio accidentale come la divulgazione o la distruzione.

Il personale coinvolto ha familiarità con il tema della sicurezza delle informazioni?

Se i dipendenti non sono consapevoli della necessità di applicare le misure possono causare altre minacce, tramite una formazione adeguata è possibile sensibilizzarli sugli obblighi di protezione e sull’applicazione delle misure stabilite.

Le persone/parti coinvolte trascurano l’archiviazione e/o la distruzione sicura dei dati?

Molte violazioni sono dovute a mancanza di misure di protezione fisica, particolare attenzione ai file cartacei anch’essi necessari di adeguata protezione da divulgazione o riutilizzo non autorizzato.

Settore e scala del trattamento

Ritieni che il tuo settore di operatività sia esposto ad attacchi informatici?

Se si sono già verificati attacchi nello stesso settore del titolare è indicazione della necessità di adottare misure per evitare un evento simile.

Ci sono stati attacchi informatici all’organizzazione negli ultimi due anni?

Se ci sono già stati vanno prese ulteriori misure per evitarne altri.

Sono arrivate notifiche o reclami riguardo la sicurezza del sistema informatico nell’ultimo anno?

Bug e vulnerabilità note vengono sfruttate per effettuare attacchi, vanno esaminate le comunicazioni in tal senso in modo che non influiscano sui sistemi in uso.

L’operazione di elaborazione riguarda un grande volume di individui e/o dati personali?

Tipologie e volume dei dati (scala) possono rendere interessanti i dati per gli aggressori.

Esistono best practice di sicurezza specifiche per il settore in cui opera l’organizzazione che non sono state seguite?

Se presenti, solitamente sono adattate ai bisogni e rischi del settore, non seguirle è un indicatore di scarsa gestione della sicurezza.

Calcolo del livello di probabilità generale

Sommando i risultati ottenuti nelle 4 aree di valutazione si otterrà un valore numerico:

4 - 5  il livello di probabilità è BASSO

6 - 8  il livello di probabilità è MEDIO

9 - 12  il livello di probabilità è ALTO

Fase 4 - Calcolare il rischio combinando la probabilità di accadimento della minaccia e il livello d’impatto

I valori emersi nella fase 2 e 3, rispettivamente il livello d’impatto sugli interessati e la probabilità di accadimento di una minaccia, vanno inseriti all’interno di una matrice che permette di calcolare con facilità il livello di rischio generale di un trattamento di dati personali.

matrice-rischio-enisa
Matrice del rischio privacy, impatto e probabilità



Descrizione del processo di valutazione in breve:

  • Descrivo il trattamento.
  • Valuto l'impatto del trattamento sugli interessati ragionando sui 4 livelli (basso, medio, alto e molto alto) e i 3 parametri di sicurezza (riservatezza, disponibilità e integrità).
  • Se manca un parametro che livello di impatto ho sull'interessato? Dei tre livelli prendo il più alto.
  • Indico la probabilità di accadimento di una minaccia con valore da 1 a 3 (basso, medio o alto) per ogni area.
  • Faccio la somma dei valori e li incrocio nella tabella (esempio sopra) con i risultati dell’impatto.
  • Calcolo il rischio generale del trattamento.
  • Definisco le misure adeguate al rischio.
  • Documento tutto.

Se qualcosa non è chiaro o desideri approfondire l'applicazione di questo metodo, noi ci siamo. Contattaci.

 Torna alle news

Inizia con un account gratuito

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

Cliccando il pulsante si accettano le condizioni di trattamento
Iscrizione effettuata con successo!
Si è verificato un errore imprevisto durante l'iscrizione. Riprova...