Valutazione d’impatto

L’analisi d’impatto nel DPM è strutturata nella forma di un percorso guidato composto da sei passaggi:

Creazione progetto

Il primo passaggio consiste nella creazione del progetto di valutazione d’impatto con l’indicazione dell’attività di trattamento sulla quale si desidera effettuare la valutazione stessa. L’attività selezionata alla voce Trattamento costituisce l’attività principale oggetto della valutazione d’impatto e della quale verranno prelevati i dati nelle fasi successive della valutazione.

Le attività che vengono selezionate alla voce Trattamenti assimilabili cosituiscono le attività di trattamento simili e quindi assimilabili ai fini della valutazione d’impatto ai sensi dell’articolo 35 del Regolamento UE 2016/679, il quale, al punto primo, sancisce che «Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.»

../_images/analisi_impatto_1.png

Pre-Assesment:

Il secondo passaggio è costituito da un questionario che scaturisce da quello definito nelle linee guida del Gruppo di lavoro articolo 29, “WP 248 rev.01” oppure delle «Attività di trattamento soggette a valutazione d’impatto obbligatoria» Qui è opportuno apporre la spunta sulle circostanze che ricorrono nell’attività di trattamento.

../_images/analisi_impatto_2.png

Valutazione proporzionalità in relazione alla finalità:

In questo passaggio si chiede di confermare che le categorie di dati e di interessati, nonché la base giuridica su cui viene effettuato il trattamento, siano proporzionali e necessarie rispetto alle finalità per le quali si trattano i dati.

../_images/analisi_impatto_3.png

Diritti e principi fondamentali

In questo passaggio si chiede di considerare e spiegare come si intende dare seguito all’eventuale esercizio dei diritti degli interessati, se siano stati presi in considerazione i principi del regolamento e se siano stati conivolti i portatori di interesse.

../_images/diritti_principi.png

Nella prima parte di questa sezione sarà opportuno valutare se siano stati predisposti meccanismi per garantire l’esercizio dei diritti degli interessati e descriverne la modalità di implementazione.

Sono presi in considerazione i seguenti diritti:

  • Rettifica
  • Cancellazione
  • Opposizione
  • Accesso
  • Portabilità

Nella seconda parte della pagina si chiede se siano stati presi in considerazione i principi del Regolamento e di descriverne la modalità di implementazione. Per facilitare la compilazione, in questa sezione sono riepilogati i dati relativi al trattamento ed attinenti ai principi presi in esame. Sono presi in considerazione i seguenti principi:

  • Liceità, Correttezza e Trasparenza
  • Integrità e riservatezza
  • Limitazione della finalità
  • Limitazione della conservazione

Nell’ultima parte della pagina si chiede se siano state coinvolte le parti interessate, tipicamente:

  • Interessati o loro rappresentanti
  • Responsabile della protezione dei dati

Gestione del rischio - logiche

La gestione del rischio in DPM è strutturata in linea con buone pratiche e standard affermati in tema di analisi e gestione dei rischi, tra le quali ISO31000, ENISA, NIST, EDPB, CNIL. In particolare, si prendendo in considerazione i seguenti documenti:

  • ENISA, «Handbook on Security of Personal Data Processing», Dicembre 2017
  • NIST, «NISTIR 8062 An Introduction to Privacy Engineering and Risk Management in Federal Systems», Gennaio 2017
  • ISO, ISO 31000
  • CNIL, «Privacy Impact Assesment Methodology», Febbraio 2018
  • WP»)/EDPB «Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679», Ottobre 2017.

Prima di poter procedere alla valutazione del rischio vera e propria è imprescindibile definire un elenco di sorgenti di rischio o minacce che ovviamente possono variare al variare del contesto.

  1. Identificazione delle Minacce: Il primo passaggio consiste nella definizione di un elenco di Minacce o Fonti di rischio.
  2. Valutazione dei rischi (calcolo del rischio base) In questa seconda fase è opportuno definire per ogni Minaccia l’impatto per i diritti e le libertà degli interessati e la probabilità di realizzazione della minaccia. Impatto e probabilità sono definiti su una scala di quattro valori.

Al fine di calcolare la magnitudo di un rischio si adotta una formula del tipo:

\(R_{1} =f (M, p)\)

Dove:

  • \(R_{1}\): magnitudo del rischio non mitigato
  • M: Impatto per i diritti e le libertà degli interessati. Esso viene calcolato assegnando un valore, su una scala da 1 a 4, al grado di identificabilità dei dati e alle conseguenze che una persona fisica potrebbe soffrire dall’avverarsi dell’evento dannoso.
  • P: probabilità di realizzazione della Minaccia. Questa viene calcolata assegnando un valore alla vulnerabilità degli Asset o supporti che custodiscono i dati e alle capacità delle sorgenti di rischio. Calcolato il rischio iniziale secondo la logica illustrata, è possibile inserire dei controlli di sicurezza, che si aggiungono alle misure di sicurezza tecniche ed organizzative già definite per l’attività di trattamento.
../_images/DPIA_1.png
  1. Mitigazione dei rischi (calcolo del rischio residuo): è possibile definire dei controlli di sicurezza che impattano in percentuale su una o entrambe le variabili a partire dalle quali si definisce il livello di rischio. Valorizzando uno dei campi di un controllo di sicurezza, si andrà ad abbassare l’indice numerico che rappresenta il rischio finale.

Per ogni minaccia DPM propone automaticamente dei controlli di sicurezza ereditati sulla base delle Misure di sicurezza Tecniche applicate agli asset tecnologici utilizzati per svolgere l’attività e di quelle organizzative applicate direttamente all’attività di trattamento. Se le Misure di sicurezza sono state pre-associate alle minacce, DPM proporrà solo quelle misure di sicurezza applicate al trattamento che afferiscono alle specifiche minacce che si sta valutando. È anche possibile definire un indice di abbattimento predefinito Minaccia –> Misura. L’utente potrà sempre modificare l’indice di abbattimento predefinito e aggiungere ulteriori misure censite nel sistema ma non associate alla minaccia e/o all’attività di trattamento.

Di seguito una rappresentazione grafica della logica usata per la correlazione «automatica» tra misure di sicurezza e minacce.

../_images/MinacceMisureDPIA.png

Scala Valori Impatto e probabilità:

../_images/DPIA_8.jpg

Calcolo dell’indice di rischio iniziale:

../_images/DPIA_6.png

Calcolo dell’indice di mitigazione complessivo:

../_images/DPIA_8.png

Gestione del rischio

L’interfaccia della valutazione e gestione del rischio si presenta suddivisa in 3 aree:

  1. Elenco delle minacce
  2. Dettagli della minaccia
  3. Misure di sicurezza
../_images/DPIA_2.png

1 Elenco delle minacce

  1. Aggiungi o elimina pacchetto minacce
  2. Modifica o elimina minaccia
../_images/DPIA_3.png

2 Dettagli della minaccia

../_images/DPIA_4.png

Nei dettagli della minaccia vengono visualizzati gli indici di rischio prima e dopo l’applicazione delle misure di sicurezza. Sotto gli indici di rischio viene visualizzato un banner che indica il grado di rischio:

  • 1-2 Rischio basso
  • 3-4 Rischio medio
  • 5-8 Rischio alto
  • 9+ Rischio altissimo

Sotto al banner è disponibile una casella di testo dove è possibile motivare l’accettazione di un livello di rischio residuo.

3 Misure di sicurezza

../_images/DPIA_5.png

Le misure di sicurezza visualizzate in automatico sono quelle correlate alla minaccia in esame, ereditate da attività di trattamento e applicativi.

Da questa interfaccia è possibile:

  1. Modifica misura di sicurezza: assegnare un indice di abbattimento su una delle 2 variabili utilizzate per il calcolo del rischio;
  2. Elimina misura di sicurezza: eliminare una o più misure relativamente alla minaccia in esame;
  3. Aggiungi misura di sicurezza: aggiungere una misura non ereditata in automatico;

Per modificare l’incidenza di una misura di sicurezza è necessario fare clic sulla percentuale impostata e modificare l’indice numerico.

Controllo e manutenzione:

Nell’ultima scheda è possibile definire lo stato di evoluzione del progetto di Analisi di Impatto:

  • In corso
  • In attesa di revisione
  • Completo

Nel caso in cui il progetto sia completato, è opportuno definire una data per la revisione dell’analisi, nel campo “Data del prossimo controllo”.

../_images/analisi_impatto_5.png

Duplicare una valutazione d’impatto

Per duplicare una valutazione d’impatto, è sufficiente selezionare la valutazione d’impatto dall’interfaccia «valutazione d’impatto» e fare clic sul tasto «duplica» posto nella finestra di dettaglio.

../_images/analisi_impatto_6.png

Successivamente sarà necessario confermare la propria intenzione di copiare la valutazione d’impatto facendo clic su «Conferma» nella finestra di dialogo che compare. La nuova valutazione d’impatto verrà inserita con il nome di «Copia di [NOME_PROGETTO]» e tutte le altre informazioni ad essa correlate, incluse le minacce, saranno identiche.

../_images/analisi_impatto_7.png