Abbiamo detto che la valutazione d'impatto è una scelta che in alcuni casi è facoltativa in altri obbligatoria: infatti, non va condotta per tutti i trattamenti, ma solo per quelli che per la loro natura, finalità, oggetto oppure per gli strumenti o tecnologie utilizzate, possono esporre i dati degli interessati rischi elevati.
Andiamo a vedere ora quali sono, in concreto, le attività che sarà necessario svolgere.
Per ciascun trattamento, per capire se presentano un rischio elevato e quindi dovranno essere inseriti all'interno della DPIA, si dovranno raccogliere le seguenti informazioni:
quali sono i soggetti interessati a cui si riferiscono i dati ed il periodo di conservazione dei dati.
quali sono le categorie di dati oggetto di trattamento (se sono personali e/o sensibili)
quali sono le finalità; devono essere finalità determinate, esplicite e legittime (ad esempio comunicazioni commerciali o marketing, oppure adempimento degli obblighi fiscali o di legge, ecc)
qual'è il contesto del trattamento (incluse le fonti da cui i dati vengono raccolti, se sono coinvolte parti terze nel trattamento e se siano all’interno o al di fuori del territorio europeo, e così via)
qual'è la natura del trattamento
una descrizione delle operazioni di trattamento (raccolta, analisi, trasferimento, tipi di utilizzo, ecc)
le modalità (cartacee e/o informatizzate) e gli strumenti con cui viene effettuato il trattamento (quali hardware o software), e l’indicazione dei canali (rete fisica o virtuale) attraverso cui vengono trasferiti i dati
i flussi informativi (ad esempio comunicazione, diffusione, cessione o trasferimento dei dati)
i soggetti destinatari dei dati e se siano interni o esterni all’organizzazione del titolare del trattamento e che accederanno a tali dati con indicazione dei motivi e delle finalità per cui ricevono tali dati
Questa valutazione risponde ad una precisa disposizione del Regolamento. Per il titolare del trattamento si tratterà di verificare che il trattamento oggetto di valutazione sia necessario allo scopo per cui inizia (cioè senza tali dati non è possibile procedere con determinate attività della organizzazione) e proporzionale.
Andranno quindi verificate le misure sicurezza, le garanzie per gli interessati ed a protezione dei dati. Tali meccanismi vanno enunciati anche a dimostrazione della conformità al Regolamento.
Nel dettaglio cosa andrà descritto?
Riguardo alla liceità del trattamento, quindi alla necessità e proporzionalità:
a) l’indicazione di quali sono le finalità. Queste devono essere determinate, esplicite e legittime;
b) l’impiego di dati adeguati, pertinenti e limitati (solo quelli che servono o che sono necessari) rispetto alle finalità e le modalità con cui il titolare assicura l’accuratezza dei dati (controllo che siano corretti, completi e riferiti all'interessato);
c) la limitazione della conservazione ad un arco di tempo non superiore al conseguimento delle finalità: quando non servono più andranno eliminati in modo sicuro;
d) il presupposto di legittimità del trattamento (es: il consenso prestato dall'interessato, un obbligo legale/fiscale, legittimo interesse del titolare e così via);
Riguardo le condizioni e le misure che assicurano il corretto esercizio dei diritti degli interessati
a) ai soggetti interessati devono essere fornite informazioni chiare, complete e comprensibili riguardo il trattamento dei loro dati; in particolare andranno indicati i soggetti a cui possono rivolgersi per ottenere ulteriori informazioni e per esercitare i propri diritti (accesso ai dati, rettifica, aggiornamento, opposizione, cancellazione, portabilità, diritto all'oblio);
b) quali sono le procedure messe a punto per garantire il diritto e l’effettiva possibilità di esercitarlo: richiedere l'accesso, la rettifica, la cancellazione, l’aggiornamento, la portabilità dei dati, nonché l’opposizione e la limitazione del trattamento;
c) quali sono le garanzie che legittimano il trasferimento di dati verso un Paese terzo extra-europeo (decisioni di adeguatezza, clausole contrattuali, e così via).
a) le garanzie (es: descrizione delle tecniche di pseudonimizzazione e di cifratura, minimizzazione, implementazione della privacy by design e by default, previsione di procedure volte verificare e valutare l’efficacia delle misure adottate);
b) misure di sicurezza organizzative (es: descrizione delle norme e delle procedure che regolano l'organizzazione della sicurezza);
c) misure di sicurezze fisiche di protezione delle aree delle apparecchiature, pc, server, db ed altro, dei dati;
d) misure di sicurezza logiche (es: backup, piano di disaster recovery, piani di continuità operativa, ecc.) sia che riguardino il corretto utilizzo degli strumenti elettronici, che la loro corretta gestione e manutenzione;
e) adozione, se prevista, di codici di condotta e/o meccanismi di certificazione.
In questo caso non si tratta di un obbligo. Tuttavia appare opportuno prevedere una fase di consultazione con tutte le parti interessate ai trattamenti, non solo all'interno della organizzazione del titolare del trattamento, ma anche all'esterno con il coinvolgimento sia degli interessati (o loro rappresentanti) che con le altre organizzazioni o terze parti con le quali i dati vengono condivisi. Si pensi allo studio che gestische i cedolini paghe, il medico del lavoro, ecc. Lo scopo è di garantire una visione complessiva condivisa nei metodi, per garantire la massima trasparenza.
La consultazione può essere svolta con le modalità che il titolare del trattamento ritiene opportune. Ad esempio somministrazione di questionari, incontri o sessioni.
A questo punto, avendo raccolto tutta la documentazione necessaria ed avendo condiviso metodi e procedure, sarà possibile procedere alla identificazione dei rischi. Si tratterà di fare una analisi del ciclo di vita dei dati in considerazione dell'impiego dei dati stessi, le finalità per cui sono stati raccolti e per cui vengono utilizzati, le tecnologie utilizzate per il trattamento e per la loro protezione ed i soggetti che sono autorizzati a trattarli (titolare, responsabile ed incaricato al trattamento).
Per prima cosa andranno ricercate le possibili fonti di rischio. In relazione ai comportamenti degli operatori interni alla organizzazione e/o di terze parti (responsabili ed incaricati del trattamento) verificare la possibilità o probabilità di sottrazione delle credenziali, distrazione, comportamenti fraudolenti o sleali. In relazione poi agli strumenti, hardware e software utilizzati, verificare la possibilità o probabilità di violazioni o infezioni (es. virus, malfunzionamenti, guasti,intercettazioni di flussi di dati, accessi non autorizzai dall'interno o dall'esterno della organizzazione, e tutti gli eventi che comportino vilazioni, alterazioni, perdita o distruzione dei dati). In relazione al contesto in cui si opera (infrastruttura, logistica della organizzazione, ecc) verificare la possibilità o probabilità che possano avvenire sottrazione/furto degli strumenti che contengono dati, eventi naturali o provocati dall'uomo che possano determinare la distruzione degli strumenti che contengono dati.
In secondo luogo, in relazione alla probabilità con cui tali eventi si potrebbero verificare, andrà valutato l'impatto che potrebbero avere sui dati e riguardo ai diritti degli interessati, assegnando a ciascun rischio un grado di probabilità e di impatto (es. nessuno, lieve, medio, alto, grave, gravissimo).
Infine, identificati i rischi e gli impatti possibili, occorre prevedere procedure per la gestione dei rischi stessi e scegliere se un determinato rischio debba essere eliminato, mitigato oppure accettato in relazione alla probabilità che si possa verificare ed in realzione al grado di impatto. Sempre in relazione alla analisi effettuata, laddove risulti opportuno, sarà necessario prevedere un piano di ammodernamento degli strumenti e delle misure di sicurezza tenendo conto sia della evoluzione tecnologica, sie della evoluzione dei rischi ed in relazione ad eventuali situazioni di rischi che possono emergere nel corso del tempo.
Al termine della valutazione d'impatto, verrà redatto un report finale.
Dovrà contenere la descrizione delle attività svolte, la descrizione di tutte le informazioni raccolte nelle attività di cui abbiamo detto nei precedenti punti, descrizione sistematica anche delle misure e delle procedure relative ai rimedi previsti e da implementare a contrasto dei rischi che sono emersi in fase di analisi.
Oltre alle informazioni raccolte nelle precedenti fasi, alla verifica che i principi fondamentali di trattamento siano stati rispettati, che il trattamento sia legittimo e che siano state valutate garanzie e misure adeguate (cioè al privacy assessment ), attraverso l’identificazione, l’analisi e la gestione dei rischi, il report dovrà indicare:
1. l’organizzazione, il progetto o l'attività per cui si è proceduto con la valutazione d’impatto;
2. i soggetti che hanno svolto la valutazione d’impatto ed i dati di contatto di un referente nominato;
3. i soggetti che sono, eventualmente, stati consultati con indicazione dell’esito di tali consultazioni;
4. le misure e i rimedi per mitigare i rischi individuati.
Tuttavia non si può ritenere concluso il processo di valutazione d’impatto con la redazione del report finale. A norma del Regolamento il report non è obbligatorio ma "il Gruppo di lavoro Art. 29 raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni".
La valutazione d’impatto infatti rappresenta un “processo continuo” da riesaminare periodicamente o quando dovesse rilevarsi un cambiamento significativo riguardante la natura, la finalità o le modalità del trattamento. Tra i mutamenti che rilevano ai fini della revisione della valutazione d'impatto si può sicuramente annoverare l’introduzione di nuove tecnologie. Tali attività di revisione ed aggiornamento sono quindi momenti rilevanti nel processo di valutazione d’impatto, in quanto hanno lo scopo dievitare che eventuali cambiamenti possano incidere negativamente sull’osservanza del regolamento e garantendone così la costante conformità.
Qualora il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. Se, al contrario, la situazione di rischio non sia stata mitigata o il trattamento mostri un rischio ancora elevato, ci si dovrà rivolgere all’autorità di controllo (Garante per la protezione dei dati personali) ed avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.
Un cambio di mentalità sulla privacy è necessaria per proteggere il benessere dell’azienda e del proprio business. Il concetto di Privacy by design, introdotto con il GDPR, è strettamente legato alla corretta gestione della protezione dei dati e, di conseguenza, all’efficientamento dei processi. L’efficienza dei processi è l’unica via per perseguire e mantenere il benessere dell’azienda e del proprio business. Tuttavia non sembra che tale concetto sia stato totalmente compreso e correttamente recepito dalle aziende italiane. Eppure si tratta di un concetto...
Scritto da: Luigi DuraccioArticolo originale su: in4mati.com Autore: CAterina Cabiddu lo scorso 22 aprile l’Ispettorato Nazionale del lavoro ha sottoscritto un protocollo con il Garante della privacy con la primaria finalità di contrastare forme occulte di controllo dell’attività lavorativa. Le nuove forme di organizzazione del lavoro, dallo smart working o lavoro agile alle app da indossare o installate su smartphone comportano, come noto forme di controllo anche solo indiretto dei lavoratori. L ’INL è infatti competente per il rilascio delle autorizzazioni per l’installazione degli impianti audiovisivi e...
Scritto da: Luigi DuraccioOra le vittime sono piccole aziende e le richieste di riscatto sono parametrate sui “piccoli” bersagli. C’è un’organizzazione cyber criminale che, criptando i file sui dispositivi QNap, ha incassato, in pochissimi giorni, oltre 260.000 dollari di riscatti. Il ransomware usato si chiama Qlocker. Perché ce ne occupiamo? Perché è un esempio di quanto si sia semplificata l’attività per mettere in piedi un attacco ransomware. I criminali informatici non hanno neanche dovuto sviluppare un programma di cifratura ma hanno usato un algoritmo integrato nel...
Scritto da: Luigi DuraccioCome ogni anno, anche lo scorso primo giovedì di maggio si è celebrata la Giornata Mondiale della Password. Articolo originale su: In4mati.com Dal 2013 anno, di istituzione, vuole offrire la necessaria sensibilizzazione agli utenti del web, per ribadire che una buona parte del problema sicurezza riguarda gli utenti: chi usa “123456″ , oppure “ avvocato” o “ingegnere” come password per la casella di posta elettronica addirittura PEC, o altri account online compresi quelli bancari, oltre che quelli dei social, non si deve...
Scritto da: Luigi Duraccio“Scusate l’abbiamo fatto per soldi e non per creare caos o disagi ai consumatori” Così rivendicano l’attacco gli hacker di Darkside. La dichiarazione dei criminali informatici dovrebbe far riflettere sul valore reale che hanno i dati di cui dispongono tutte le aziende. Lo sanno bene i criminali che infatti intensificano le loro campagne malevole. Chi sembra non averlo ancora capito sono le aziende, soprattutto quelle di casa nostra. Ormai da diverso tempo le aziende, ed in particolare quelle italiane, sono nel mirino dei pirati...
Scritto da: Luigi DuraccioLa distruzione o cancellazione non è una procedura semplice e deve essere “sicura” e certificata. Occorre la dimostrazione di conformità alla normativa. Se poi ci si affida ad aziende esterne… Iniziamo col dire che il “diritto all’oblio” è uno dei principali diritti difesi dal Regolamento Europeo sulla Protezione dei Dati Personali (vedi in particolare articolo 4, articolo 17, articolo 30 e articolo 70). Esiste quindi un preciso obbligo legale alla eliminazione dei dati personali se non sono più necessari e se...
Scritto da: Luigi DuraccioTutti i sistemi sono vulnerabili, e tutte le protezioni possono essere superate. Esistono soluzioni semplici, potenti ed economiche per recuperare i file criptati. Ripetiamo ormai da molto tempo che la protezione al 100% non esiste e le strategie degli hacker si evolvono e, per superare le difese, traggono continuamente nuova linfa dall’aumento degli strumenti utilizzati. Se a questo aggiungiamo l’evoluzione del contesto, il lavoro remoto ad esempio, la scarsa alfabetizzazione degli utenti e la quasi totale mancanza di strategie di protezione nelle aziende ecco...
Scritto da: Luigi DuraccioI NAS venduti da QNAP sembrano essere gli obiettivi preferiti dai cybercriminali. Negli ultimi mesi sono stati segnalati diversi attacchi, questa volta è il turno di AgeLocker. Come risolvere Abbiamo già indicato alcune linee guida su come risolvere nel caso si fosse subito un attacco in un precedente articolo (Il ransomware che attacca i NAS QNAP), tuttavia negli ultimi giorni un portavoce di QNAP ha confermato che sui dispositivi compromessi è installata una vecchia versione del firmware. È quindi fortemente consigliato installare le...
Scritto da: Luigi DuraccioSempre più spesso i dipendenti utilizzano i loro dispositivi personali BYOD , acronimo di “bring your own device” ovvero “utilizza il tuo dispositivo”, per rendere la prestazione lavorativa e capita anche che sia il datore di lavoro ad avere la necessità che il lavoratore svolga da casa il lavoro o un particolare lavoro. Fonte: in4mati.com Autore: Caterina Cabiddu I problemi di corretto trattamento dei dati sono evidenti, atteso che da una parte il datore di lavoro deve poter controllare i dati e la...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.