L’accountability, come ormai ampiamente condiviso, porta a definire, sulla base della valutazione dei rischi, le misure che servono alla mitigazione degli stessi, agendo sulle leve di gravità, probabilità e rilevabilità. Le misure sono definite dal Titolare del trattamento sulla base della valutazione dei rischi, che può essere condotta secondo approcci diversi. Il risultato della valutazione è l’IRP – indice di priorità del rischio/risk priority number, che deve essere confrontato con il livello di priorità stabilito sulla base del superamento di una determinata soglia di intervento.
Le misure sono definite dal Titolare del trattamento sulla base della valutazione dei rischi, che può essere condotta secondo approcci diversi. Il risultato della valutazione è l’IRP – indice di priorità del rischio/risk priority number, che deve essere confrontato con il livello di priorità stabilito sulla base del superamento di una determinata soglia di intervento.
Le misure già messe o da mettere in atto possono essere:
– già implementate, e quindi definite, documentate, poste in atto, verificate in termini di efficacia ed efficienza ed oggetto di audit – secondo la logica PDCA Plan Do Check Act;
– già pianificate: sono state stanziate le risorse necessarie, ma devono ancora essere implementate, secondo un piano stabilito;
– ancora da definire.
(Nella foto: l’Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy)
Del resto, questo concetto è chiaramente esplicitato nel primo paragrafo dell’articolo 32, che recita: “Tenendo conto dello stato dell’arte e dei costi di attuazione… il titolare del trattamento …. mettono in atto misure tecniche e organizzative ….”. Tali misure devono essere poi oggetto di valutazione, come indicato nel paragrafo 1d) del medesimo articolo “…una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento…”.
Le misure reattive e proattive – Le misure di accountability possono essere classificate secondo vari criteri; in questo articolo si esplorano le differenze tra misure reattive e proattive; in sintesi: le misure reattive reagiscono ad una situazione di criticità che si è verificata, mentre le misure proattive la anticipano, ed hanno quindi una valenza preventiva.
E’ evidente che, per quanto possibile, le misure poste in essere dal titolare dovrebbero essere di tipo proattivo, ovvero anticipare situazioni critiche, in modo da evitare il loro verificarsi.
Le misure proattive – Le misure proattive implicano un approccio dell’organizzazione che privilegia la prevenzione e promuovono il miglioramento continuo:
– prevedono l’identificazione dei rischi e dei pericoli che minano i dati degli interessati, sulla base degli elementi di contesto, nonché le misure da porre in atto;
– definiscono appropriate disposizioni (anche sotto forma di procedure ed istruzioni);
– controllano sistematicamente l’adeguatezza delle risorse, la competenza e consapevolezza del personale, le cui responsabilità sono definite senza margini di ambiguità;
– favoriscono il controllo dell’osservanza di disposizioni definite, volte garantire i diritti e le libertà degli interessati; ciò tramite azioni di sorveglianza ed ispezioni;
– prevedono la definizione, la pianificazione, la messa in atto e la sorveglianza dello stato di avanzamento di obiettivi di miglioramento e di indicatori (KPI) misurabili;
– valutano le modifiche all’insieme delle misure adottate ad ogni cambiamento di contesto (fornitori, trattamenti, organizzazione interna, normativa, ecc.)
– monitorano costantemente la qualità delle misure poste in atto e delle prestazioni del sistema di gestione della protezione dei dati, con la consapevolezza che la mancanza di eventi avversi (relativi alla sicurezza delle informazioni/data breach) non è un indice della completa adeguatezza del sistema.
Laddove sia valutata la “non necessità” di procedere nel definire e pianificare ulteriori azioni di mitigazione, ritenendo quelle in essere già adeguate, il titolare deve fornire la motivazione, da riconsiderare ad intervalli prestabiliti.
Le misure reattive – Le misure reattive, reagendo ad un evento critico, dovrebbero essere considerate solo quando:
– non è possibile ipotizzare, per varie ragioni, compresa una valutazione dei costi, misure di tipo proattivo;
– non vi è garanzia che le misure proattive intercettino tutte le situazioni di criticità.
Il Titolare del trattamento deve comunque essere consapevole che è errato:
– dipendere in modo eccessivo/esclusivo da misure di carattere reattivo o dalla valutazione ex-post degli indicatori;
– agire solo dopo un evento critico di severità elevata, senza cogliere i segnali deboli che il sistema di gestione della protezione dei dati lancia (ad esempio, un costante, sia pur lieve, aumento delle richieste di esercizio dei diritti degli interessati);
– considerare eventi avversi solo quelli che minano la sicurezza del know-how aziendale e non quelli afferenti alla protezione dei dati personali (o viceversa);
– non approfondire le cause di un evento avverso sulla sicurezza delle informazioni/data breach, o limitarsi ad approfondire una sola causa, dimenticando che, nella maggior parte dei casi, tali eventi hanno più punti deboli.
Facendo un parallelo con il Testo Unico per la sicurezza sul lavoro (D.lgs 81/2008), possiamo specificare che le misure proattive sono le misure di prevenzione (cartellonistica), mentre le misure reattive sono le misure di protezione (guanti, scarpe antinfortunistiche).
Quindi, in sintesi: le strategie di “Gestione del Rischio” possono basarsi su un’analisi proattiva e/o reattiva:
– l’analisi proattiva analizza un potenziale evento prima che lo stesso abbia prodotto un effetto; essa è da preferire, per le ragioni sopra esposte;
– l’analisi reattiva analizza un evento dopo che lo stesso ha già prodotto un effetto.
Ecco alcuni esempi.
Misure proattive:
– una struttura organizzativa di privacy con l’identificazione delle responsabilità a carico dei vari soggetti;
– procedure che regolamentano anche gli aspetti relativi alla protezione dei dati, come ad esempio quelle sull’esercizio dei diritti, sulla gestione dei data breach, sulla gestione di un nuovo trattamento o della modifica di un trattamento (privacy by design), etc.
Misure di carattere reattivo:
– lo scadenziario che a posteriori permette di verificare che tutte le azioni pianificate siano state svolte, e, laddove non lo fossero, agire, sia pure a posteriori.
L’audit come misura proattiva e reattiva – L’audit è una misura particolare, in quanto esso è di carattere sia proattivo che reattivo; un audit ben condotto è una misura proattiva, in quanto, attraverso una serie di tecniche specifiche, può individuare nuovi trattamenti, o variazioni ai trattamenti, in anticipo rispetto a quanto già pianificato, permettendo quindi di mettere in atto misure di contenimento. E’ al contempo, una misura reattiva, laddove durante l’attività di audit emergano delle non conformità, in quanto permette di evidenziare situazioni di criticità e di porvi rimedio.
(Per approfondimenti sul tema degli audit vedasi il libro “Privacy & Audit”)
Fonte: Monica Perego – Membro del Comitato Scientifico di Federprivacy