Valutazione d’impatto

L’analisi d’impatto nell’applicativo DPM è declinata in un percorso guidato composto da sei passaggi:

Creazione progetto

Il primo passaggio consiste nella creazione del progetto di valutazione d’impatto con l’indicazione dell’attività di trattamento sulla quale si desidera effettuare la valutazione stessa. L’attività selezionata alla voce Trattamento costituisce l’attività principale oggetto della valutazione d’impatto e della quale verranno prelevati i dati nelle fasi successive del procedimento.

Le attività che vengono selezionate alla voce Trattamenti assimilabili costituiscono le attività di trattamento simili ai fini della valutazione d’impatto così come previsto dall’articolo 35 del Regolamento UE 2016/679, il quale, al paragrafo primo, dispone che «Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.»

../_images/analisi_impatto_1_1.png

Pre-Assessment

Il secondo passaggio del progetto rappresenta un elenco parziale relativo alle risposte date al questionario di pre-assessment ( Pre assessment ) nel constesto del trattamento per il quale si è cominciato il progetto. Verrà, in questa sede, sottoposta nuovamente l’attenzione sul risultato del questionario di pre-assessment (se procedere o meno pertanto con il progetto di valutazione d’impatto).

../_images/analisi_impatto_2.png

Valutazione proporzionalità in relazione alla finalità:

In questo passaggio si chiede di confermare che le categorie di dati e di interessati, nonché la base giuridica su cui viene effettuato il trattamento siano proporzionali e necessari rispetto alle finalità per le quali vengono trattati i dati.

../_images/analisi_impatto_3.png

Diritti e principi fondamentali

In questo passaggio si chiede di considerare ed illustrare nel dettaglio come si intende dare seguito all’eventuale esercizio dei diritti da parte degli interessati; se siano stati presi in considerazione i principi del regolamento e se siano stati conivolti i gli interessati o i loro rappresentanti oppure il responsabile della protezione dei dati.

../_images/diritti_principi.png

Nella prima parte di questa sezione sarà opportuno valutare se siano stati predisposti meccanismi per garantire l’esercizio dei diritti da parte degli e descriverne la modalità di implementazione.

Sono presi in considerazione i seguenti diritti:

  • Rettifica;
  • Cancellazione;
  • Opposizione;
  • Accesso;
  • Portabilità;
  • Limitazione di trattamento;
  • Revoca del consenso.

Nella seconda parte della pagina si chiede se siano stati presi in considerazione i principi del Regolamento e di descriverne la modalità di implementazione. Per facilitare la compilazione, in questa sezione sono riepilogati i dati relativi al trattamento ed i dati afferenti ai principi presi in esame. Nello specifico vengono considerati i seguenti principi:

  • Liceità, Correttezza e Trasparenza;
  • Integrità e riservatezza;
  • Limitazione della finalità;
  • Limitazione della conservazione.

Nell’ultima parte della sezione si chiede se siano state coinvolte le parti interessate, tipicamente:

  • Interessati o loro rappresentanti;
  • Responsabile della protezione dei dati.

Componenti del trattamento

Nel quinto passaggio è possibile fornire una descrizione sistematica e sommaria delle componenti che a vario titolo prendono parte all’attività di trattamento oggetto di valutazione. Segnatamente sarà possibile descrivere:

  • le componenti tecnologiche;
  • le componenti organizzativo-personali;
  • le componenti fisico-spaziali.
../_images/desc_sistematica.png

N.B. Ancorché tramite assistenza, è possibile personalizzare i campi con le relative descrizioni.

Gestione del rischio - logiche

La gestione del rischio in DPM è strutturata in linea con buone pratiche e standard affermati in tema di analisi e gestione dei rischi, tra le quali ISO31000, ENISA, NIST, EDPB, CNIL. In particolare, si prendendo in considerazione i seguenti documenti:

  • ENISA, «Handbook on Security of Personal Data Processing», Dicembre 2017;
  • NIST, «NISTIR 8062 An Introduction to Privacy Engineering and Risk Management in Federal Systems», Gennaio 2017;
  • ISO, ISO 31000;
  • CNIL, «Privacy Impact Assesment Methodology», Febbraio 2018;
  • WP/EDPB «Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679», Ottobre 2017.

Al fine di procedere alla valutazione del rischio non ci si può esimere dal definire un elenco di sorgenti di rischio o minacce che possono variare a seconda del particolare contesto.

  1. Identificazione delle Minacce: Il primo passaggio consiste nella definizione di un elenco di Minacce o Fonti di rischio afferenti a quel trattamento.
  2. Valutazione dei rischi (calcolo del rischio base) Nel secondo passaggio occorre definire, per ogni Minaccia, l’impatto sui diritti e le libertà degli interessati nonché la probabilità di realizzazione della minaccia medesima. Impatto e probabilità sono definiti su una scala di quattro valori.

Al fine di calcolare la magnitudo di un rischio si adotta una formula del tipo:

\(R_{1} =f (M, p)\)

Dove:

  • \(R_{1}\): magnitudo del rischio non mitigato
  • M: Impatto per i diritti e le libertà degli interessati. Esso viene calcolato assegnando un valore, su una scala da 1 a 4, al grado di identificabilità dei dati e alle conseguenze che una persona fisica potrebbe soffrire dall’avverarsi dell’evento dannoso.
  • P: probabilità di realizzazione della Minaccia. Questa viene calcolata assegnando un valore alla vulnerabilità degli Asset o supporti che custodiscono i dati e alle capacità delle sorgenti di rischio. Calcolato il rischio iniziale secondo la logica illustrata, è possibile inserire dei controlli di sicurezza, che si aggiungono alle misure di sicurezza tecniche ed organizzative già definite per l’attività di trattamento.
../_images/DPIA_1.png
  1. Mitigazione dei rischi (calcolo del rischio residuo): Con il terzo passaggio è possibile definire dei controlli di sicurezza che influenzano in misura percentuale una o entrambe le variabili in forza delle quali si giunge alla definizione del rischio iniziale. Valorizzando uno dei campi di un controllo di sicurezza, si andrà ad abbassare l’indice numerico che rappresenta il rischio finale.

Per ogni singola minaccia prescelta, DPM propone automaticamente dei controlli di sicurezza ereditati sulla base delle Misure di sicurezza sugli Asset utilizzati per porre in essere l’attività nonché di quelle sui Trattamenti applicate direttamente all’attività di trattamento. Se le Misure di sicurezza sono state pre-associate alle minacce attraverso il menu MINACCE, l’interfaccia DPM proporrà solo quelle misure di sicurezza applicate al trattamento che afferiscono alle specifiche minacce di cui si sta valutando la portata. L’utente può altresì definire un indice di abbattimento predefinito per misura, potrà poi sempre modificare tale indice predefinito nonché aggiungere ulteriori misure censite a sistema ma non associate alla minaccia e/o all’attività di trattamento.

Di seguito una rappresentazione grafica della logica seguita per la correlazione «automatica» tra misure di sicurezza e minacce.

../_images/MinacceMisureDPIA.png

Scala dei valori di impatto e probabilità

../_images/DPIA_11.png

Calcolo dell’indice di rischio iniziale

../_images/DPIA_6.png

Configurazione e calcolo dell’indice di rischio residuo

Al fine di stimare il rischio a valle dell’applicazione delle misure di sicurezza, DPM mette a disposizione diversi metodi di calcolo. Preliminarmente è opportuno segnalare che a prescindere dai metodi adottati, e che saranno esposti più sotto, gli stessi sono accomunati da talune soglie (percentuali o meno) sulla scorta delle quali viene calcolato il valore mitigato di impatto e probabilità; tale operazione viene condotta per ogni singola minaccia oggetto di analisi ed a valle dello studio complessivo delle misure di sicurezza poste a presidio di questa.

Nelle due immagini che seguono vengono rappresentate le predette soglie:

../_images/sog_impatto.png ../_images/sog_proba.png

Una volta ascritte le soglie percentuali alle relative soglie, sottratto l’indice di abbattimento a quello di rischio inerente (come da immagini precedenti), il rischio finale o residuo viene calcolato come segue:

../_images/calc_res.png

I metodi di mitigazione a corredo di Data Protection Manager sono i seguenti:

I diversi metodi di calcolo possono essere configurati come predefiniti tramite le opzioni di configurazione:

../_images/DPIA_Opzioni.png

Ogni nuova DPIA adotterà il metodo di mitigazione predefinito in configurazione e lo manterrà anche qualora il medesimo dovesse essere modificato in un momento successvo.

Attivando l’opzione: «Abilita la modifica del metodo di mitigazione» sara possibile modificare il metodo di mitigazione su ogni singola DPIA,

../_images/dpia_opzioni_singola.png

Gestione del rischio

L’interfaccia della valutazione del rischio si presenta suddivisa in 3 aree:

  1. Elenco delle minacce;
  2. Dettagli della minaccia;
  3. Misure di sicurezza.
../_images/DPIA_2.png

1 Elenco delle minacce

  1. Aggiungi o elimina pacchetto di minacce;
  2. Modifica o elimina minaccia.
../_images/DPIA_3.png

2 Dettagli della minaccia

../_images/DPIA_4.png

Nei dettagli della minaccia vengono visualizzati gli indici di rischio a monte ed a valle dell’applicazione delle misure di sicurezza. Sotto gli indici di rischio viene visualizzato un banner colorato, afferente al grado di rischio:

  • 1-2 Rischio basso;
  • 3-4 Rischio medio;
  • 5-8 Rischio alto;
  • 9-16 Rischio altissimo.

Sotto tale banner è disponibile una casella di testo dove è possibile motivare l’accettazione di un determinato livello di rischio residuo.

3 Misure di sicurezza

../_images/DPIA_5.png

Le misure di sicurezza visualizzate in automatico sono quelle correlate alla minaccia in esame, ereditate rispettivamente da attività di trattamento, applicativi, componenti IT e luoghi fisisi.

Da questa interfaccia è possibile porre in essere le seguenti operazioni:

  1. Modifica misura di sicurezza: assegnare un indice di abbattimento su una delle 2 variabili (probabilità o impatto) utilizzate per il calcolo del rischio;
  2. Elimina misura di sicurezza: eliminare una o più misure relativamente alla minaccia in esame;
  3. Aggiungi misura di sicurezza: aggiungere una misura non ereditata in automatico;

Per il quanto concerne il metodo di mitigazione si rimanda all’apposita sezione: Configurazione e calcolo dell’indice di rischio residuo

Mitigazione del rischio inerente od iniziale con metodo c.d. «Somma dei valori»

Selezionando la metodologia c.d. «Somma dei valori», il valore di mitigazione applicato al rischio iniziale (inerente) è costituito dalla somma dei valori percentuali afferenti alle singole misure di sicurezza associate alla minaccia.

Mitigazione complessiva:

../_images/DPIA_8.png

Mitigazione del rischio inerente od iniziale con metodo c.d. «Valore Minore»

Selezionando la metodologia «Valore minore», il valore di mitigazione applicato al rischio iniziale (inerente) è costituito dal valore minore riscontrato tra tutte le singole misure associate alla minaccia.

../_images/DPIA_rischio_min_.png

Mitigazione del rischio inerente od iniziale con metodologia c.d. «qualitativa»

Selezionando la modalità «Qualitativa», è possibile attivare una diversa metodologia per la pesatura delle misure di sicurezza nonché, pertanto, per il calcolo del rischio residuo.

Seppur quanto sin qui esposto resti valido,una differenza significativa riguarda la pesatura delle misure di mitigazione: utilizzando la metodologia qualitativa non è infatti necessario definire quanto una misura mitighi un determinato rischio e sarà sufficiente indicare se una misura è applicata, parzialmente applicata, non applicata o non applicabile. A titolo esemplificativo si veda la tabella sottostante:

../_images/DPIA_exegratia.png

A valle della compilazione dell’apposita sezione, il livello di riduzione del rischio che la minaccia determina viene calcolato analizzando separatamente le componenti di probabilità e impatto, sommando i valori attribuiti alle misure (esclusi i campi in cui si è inserito N/A) e dividendo per il numero di misure totali implementabili al netto di quelle che presentano il valore N/A (valore “probabilità” assegnato alle misure applicate/misure applicabili).

../_images/DPIA_qulitativa_2.png

Mitigazione del rischio inerente od iniziale con metodologia c.d. «qualitativa con rischio residuo libero»

Selezionando la metodologia «Qualitativa con rischio residuo libero», il valore di mitigazione applicato al rischio iniziale (inerente) è liberamente definito dal’utente a valle dell’associazione delle misure alla minaccia.

Utilizzando questa metodologia nell’interfaccia si aggiungerà un campo tramite il quale sarà possibile indicare qual è il rischio residuo.

Con riferimento alle singole misure sarà invece possibile definirne il livello o grado di adozione senza che tale operazione inneschi una modifica effettiva del rischio residuo.

../_images/DPIA_qualitativa_libera.png

Giudizio di sintesi

Il penultimo passaggio è dedicato ad una rappresentazione sinottico-riassuntiva di tutti i rischi o minacce afferenti al trattamento sottoposto a valutazione d’impatto. In calce alla tabella riassuntiva delle minacce viene data evidenza del «Livello di rischio residuo» globale, risultante dal valore massimo riscontrato tra i livelli di rischio di tutte le minacce, a valle dell’analisi delle misure di sicurezza. È altresì possibile utilizzare il campo di testo libero al fine di sugellare delle considerazioni sul rischio residuo finale (come per esempio le ragioni che sottendono l’accettazione del medesimo etc.).

../_images/gsintesi.png

Qualora la relativa spunta fosse attiva in Configurazione , comparirà in calce all’interfaccia un’ulteriore sezione del passaggio afferente al giudizio di sintesi. Tramite la medesima sarà possibile, anche sulla scorta del livello di rischio e sulle relative considerazioni, selezionare un’azione o risoluzione da intraprendere a seguito della chiusura del progetto di valutazione d’impatto, eventualmente specipicandone i profili attraverso il campo note susseguente.

../_images/gsintesi_2.png

Controllo e manutenzione:

Nell’ultima scheda è possibile definire lo stato di evoluzione del progetto di Analisi di Impatto; il medesimo può essere infatti declinato come:

  • in corso;
  • in attesa di revisione;
  • completo.

Nel caso in cui il progetto fosse completato, è opportuno definire una data per la revisione dell’analisi, nel campo “Data del prossimo controllo”.

../_images/analisi_impatto_5.png

Duplicare una valutazione d’impatto

Per duplicare una valutazione d’impatto, è sufficiente selezionare la valutazione d’impatto dall’interfaccia «valutazione d’impatto» e fare clic sul tasto «duplica» posto nella finestra di dettaglio.

../_images/analisi_impatto_6.png

Successivamente sarà necessario confermare la propria intenzione di copiare la valutazione d’impatto facendo clic su «Conferma» nella finestra di dialogo che compare. La nuova valutazione d’impatto verrà inserita con il nome di «Copia di [NOME_PROGETTO]» e tutte le altre informazioni ad essa correlate, incluse le minacce, saranno identiche.

../_images/analisi_impatto_7.png

Allegare file a una valutazione d’impatto

Infine, a ciascuna valutazione d’impatto è possibile allegare uno o più documenti. Sarà sufficiente cliccare sulla singola valutazione d’impatto e, nei dettagli che compaiono sulla destra dell’interfaccia, fare clic sull’apposito pulsante di upload.

../_images/analisi_impatto_8.png

Condivisione della Valutazione d’impatto e gestione dei reporter

Un utente a cui è stato assegnato un ruolo con un permesso attivo di «Valutazione d’impatto» ha il potere di generare, attraverso l’apposita sezione sulla destra VALUTAZIONE D’IMPATTO, una valutazione d’impatto sulla protezione dei dati. L’utente che andrà a creare la medesima assumerà automaticamente la qualifica di Reporter.

../_images/analisi_impatto_9.png

Una volta generata la valutazione, il Reporter o l’amministratore dell’istanza possono decidere se condividere la medesima attraverso l’apposita spunta presente nel menu che si apre una volta cliccato sulla valutazione d’impatto desiderata. Qualora la funzionalità di condivisione della valutazione non fosse attiva, la stessa sarà visibile esclusivamente a coloro i quali sono stati aggiunti nel campo Reporter come da immagine precedente: sarà sufficiente a tal fine aggiungere gli utenti attingendoli dall’elenco che viene generato mediante il riempimento del campo di ricerca.

../_images/analisi_impatto_10.png

L’immagine di cui sopra rappresenta il menu riassuntivo della valutazione d’impatto nonché, segnalato dalla freccia rossa, la spunta per condividere la medesima. Qualora tale spunta venisse attivata, quella specifica valutazione d’impatto sarà visibile a tutti i soggetti ai quali sia stato assegnato un ruolo con permesso attivo di «Valutazione d’impatto».

Utenti c.d. Informati

Il reporter ha altresì la possibilità di aggiungere al progetto degli utenti che potranno accedere al medesimo in sola lettura: gli informati potranno pertanto navigare all’interno del progetto senza tuttavia la possibilità di scrivervi alcunché. Per aggiungere un utente come informato sarà sufficiente cliccare sul campo dedicato ed attingerlo dall’anagrafica dell’applicativo.

../_images/informed.png