La valutazione dei rischi privacy è un processo che può essere implementato seguendo diverse metodologie.

La corretta individuazione delle misure di sicurezza tecniche e organizzative di cui all’art. 32 del GDPR è un elemento chiave per adottare l’approccio orientato al rischio, che insieme al principio di accountability è un vero e proprio cambio di mindset richiesto alle aziende titolari del trattamento.

Anche gli strumenti utilizzati sono incisivi sul risultato e sulla capacità di mantenere aggiornate le informazioni, dato che la valutazione dei rischi è un processo ciclico, improntato al miglioramento continuo.

 

Quali strumenti possono essere utilizzati per la Valutazione dei rischi privacy?

Sebbene molti titolari del trattamento continuino ad affidarsi a strumenti ordinari come i fogli di calcolo, l’utilizzo di software per la gestione della compliance privacy è sempre più diffuso e richiesto, soprattutto dalle organizzazioni più strutturate come multinazionali o gruppi imprenditoriali.

La ragione è semplice: è necessario integrare le informazioni provenienti dai diversi processi di compliance (ad esempio dalla mappatura dei trattamenti alla valutazione dei rischi e da quest’ultima alla valutazione di impatto) e coordinare le attività all’interno delle diverse aree funzionali, sotto la direzione dell’Ufficio Privacy e dove presente del Data Protection Officer.

GoPrivacy di Unolegal è il software in cloud per la gestione della compliance privacy che contiene diversi moduli per svolgere le complesse attività di valutazione dei rischi collegate al trattamento di dati personali.

Oltre alla metodologia Privacy/ISO basata sugli Asset e sulle normative ISO 31000, ISO 27001, ISO 29151 e ISO 27701, è oggi disponibile un’ulteriore metodologia basata sulle linee guida ENISA (European Union Agency for Cybersecurity).

 

Come funziona la metodologia ENISA di GoPrivacy?

GoPrivacy ha implementato una metodologia di analisi dei rischi privacy seguendo le linee guida ENISA (European Union Agency for Cybersecurity) contenute nelle seguenti pubblicazioni:

Guidelines for SMEs on the security of personal data processing (Dec. 2016)
Handbook on Security of Personal Data Processing (Dec. 2017)
Reinforcing trust and security in the area of electronic communications and online services (Dec. 2019)

L’obiettivo finale della metodologia è quello di individuare le misure di sicurezza tecniche e organizzative da attuare a seconda del livello di rischio identificato. Il metodo si compone di diversi step:

  • Le informazioni sul Contesto e sulle Operazioni di trattamento sono collegate dinamicamente con modulo dedicato al Registro delle attività di trattamento ex art. 30 GDPR;
  • Definizione dei livelli di Impatto potenziale di un incidente di sicurezza sui profili di RISERVATEZZA, INTEGRITA’ e DISPONIBILITA’, sulla base di 4 classi (BASSO / MEDIO / ALTO / MOLTO ALTO);
  • Valutazione delle possibili Minacce e la loro Probabilità, attraverso un questionario che considera 4 aree di valutazione
      • RISORSE DI RETE E TECNICHE;
      • PROCESSI/PROCEDURE RELATIVI ALL’OPERAZIONE DI TRATTAMENTO DEI DATI;
      • PARTI / PERSONE COINVOLTE NEL TRATTAMENTO DEI DATI PERSONALI;
      • SETTORE DI OPERATIVITA’ E SCALA DI TRATTAMENTO;
  • Determinazione del Livello di Rischio (ALTO-MOLTO ALTO / MEDIO / BASSO) come prodotto tra i livelli valutati di Impatto potenziale di un incidente di sicurezza e Probabilità di accadimento: R = P x I ;
  • Selezione di misure di sicurezza Tecniche e Organizzative da diversi set predisposti a seconda del livello di rischio (ALTO-MOLTO ALTO / MEDIO / BASSO);

 

Quali sono i vantaggi della metodologia ENISA di GoPrivacy per la valutazione dei rischi Privacy?

La metodologia ENISA all’interno di GoPrivacy è indicata per le PMI che intendono eseguire una valutazione del rischio privacy in modo semplice ma efficace e riferito alle migliori pratiche definite da un ente di rilievo europeo come l’Agenzia europea per la sicurezza delle reti e dell’informazione.

E’ utile però anche in organizzazioni più strutturate, per impostare un primo livello di rischio per poi passare a metodologie più di dettaglio ma che richiedono tempi di completamento e mantenimento più impegnativi.