Data protection

Il registro dei rischi.

Uno degli aspetti caratterizzanti del GDPR è rappresentato dall’attribuzione, in capo al Titolare del trattamento, del compito di vagliare i rischi sottesi alle attività di trattamento dei dati personali. Il risk-based approach si presenta, in questo senso, come premessa metodologica indispensabile per realizzare una security governance in linea con la tutela dei diritti e delle libertà degli interessati nonché per individuare qualsivoglia misura (tecnica o organizzativa) finalizzata alla protezione dei dati personali.

Numerosi sono i riferimenti del GDPR al rischio e alla gestione del rischio. Tra essi i più significativi sono contenuti:

  • nei considerando 75[1] e 76[2], che forniscono alcune indicazioni in merito a quali siano i diritti e le libertà delle persone fisiche;
  • nell’articolo 24[3], che in tema di responsabilità del titolare del trattamento evidenzia che l’obiettivo di questa analisi è individuare, valutare e gestire i rischi implementando misure per il contenimento dei rischi;
  • nell’art. 25[4], che impone al titolare del trattamento la protezione dei dati fin dalla progettazione del trattamento tenendo conto anche dei rischi aventi probabilità e gravità diverse;
  • nell’art. 32[5], che indica tra gli obblighi per il titolare del trattamento, quello di garantire un livello di sicurezza adeguato al rischio;
  • nell’art. 35[6], che prevede l’obbligo di valutazione di impatto, da realizzare secondo una procedura formalizzata qualora, al termine della analisi del rischio, si riscontra che il trattamento continui a presentare un rischio elevato.

Il GDPR, quindi, obbliga la Azienda sanitaria a dotarsi di un processo continuo di analisi e monitoraggio, strutturato in fasi ed attività, finalizzato a porre i dati personali al riparo dai rischi di perdita di riservatezza, integrità e disponibilità. al fine di proteggere i dati aziendali a seguito di un data breach mediante ransomware.

L’analisi, in sostanza, deve essere finalizzata ad individuare il livello di esposizione al rischio dei dati personali trattati. I risultati dell’analisi consentiranno di individuare gli ambiti su cui focalizzare gli interventi, ottimizzando l’impiego delle risorse a disposizione.

Il monitoraggio, attraverso obiettivi di controllo e indicatori di performance chiari e misurabili, deve invece consentire di valutare:

  • l’effettivo stato di implementazione delle misure di sicurezza,
  • l’efficacia delle misure implementate,
  • l’effettiva e corretta applicazione del sistema (framework),
  • la conformità ai requisiti del GDPR al fine di valutarne l’efficacia nel tempo.

Le scelte e le decisioni che derivano dal processo di valutazione dei rischi implicano un’assunzione di responsabilità – in capo al Titolare del trattamento – che deve essere necessariamente documentata (accountability) attraverso strumenti formali che permettano di motivare i passaggi metodologici seguiti nonché rendere palesi i criteri sulla base dei quali sono stabiliti pesi e misure per ogni fattore preso in considerazione.

In questo modo, anche in occasione di un’eventuale attività ispettiva da parte di un organo di controllo, sarà possibile ricostruire con precisione e puntualità i passaggi logico-argomentativi utilizzati per dimostrare l’assunzione di specifiche decisioni.

Sulla scorta di quanto esposto, si dovrà procedere ad una “Analisi dei rischi”, condotta alla luce delle indicazioni contenute nel Manuale RPD – Linee guida destinate ai Responsabili della protezione dei dati nei settori pubblici e parapubblici per il rispetto del regolamento generale sulla protezione dei dati dell’Unione Europea (luglio 2019).

I rischi oggetto di valutazione non si limitano ai rischi per la sicurezza intesa in senso stretto – cioè alla probabilità e all’impatto di una violazione dei dati – bensì anche ai rischi per i diritti e le libertà degli interessati (e di altre persone fisiche) posti dal trattamento.

Alla luce dell’elenco che risulterà dal censimento dei trattamenti dei dati personali sarà condotta una disamina degli stessi volta a individuare delle classi di priorità di intervento (ALTA. MEDIA, BASSA).

  Gli elementi che compongono la valutazione del rischio sono:

  • il bene (vulnerabilità e controlli),
  • la minaccia (profilo dell’agente responsabile della minaccia, probabilità della minaccia) 
  • l’impatto.

Una corretta valutazione del rischio prevede quattro fasi:

  1. Definizione del trattamento e del relativo contesto
  2. Comprensione e valutazione dell’impatto sulle persone
  3. Definizione di eventuali minacce e valutazione della loro probabilità (probabilità del verificarsi delle minacce)

La valutazione del rischio viene compiuta ricorrendo all’associazione tra la probabilità del verificarsi di minacce e l’impatto delle stesse, sui diritti e libertà degli interessati.

Tale ampia e qualificata attività di competenza dell’Ufficio Privacy e Sicurezza delle Informazioni per essere portata a termine e poi aggiornata con tempestività richiede:

  1. Il potenziamento quali-quantitativo dell’Ufficio Privacy, nei termini più volte comunicati dallo scrivente;
  2. la piena e consapevole collaborazione di tutte le Unità Operative aziendali chiamate, da tempo, a fornire l’elenco dei trattamenti di propria competenza, in aggiunta al coinvolgimento della UOC Sistemi Informativi per quanto attiene le misure di sicurezza logiche da applicare ai sistemi operativi presenti in ASL, alla UOC Ingegneria Clinica – HTA, per tutto ciò che attiene ai dispositivi medici presenti in ASL, che trattano dati personali; alla UOC Servizi Tecnico Manutentivi, per le ricadute che la impiantistica in toto può avere sul trattamento dei dati personali, e alle altre Unità Operative per quanto di loro competenza.
  3. La successiva attività di inserimento informazioni (data entry) nel Registro dei trattamenti dovrà essere seguita da una Analisi dei rischi con relativa Valutazione di impatto; attività per la cui realizzazione sono richieste professionalità specifiche.

[1] Considerando (75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della  pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

[2] Considerando (76) La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.

[3] Articolo 24 Responsabilità del titolare del trattamento (C74-C78)

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato

conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3. L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

[4] Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto

del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli

interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare,

dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

[5] Articolo 32 Sicurezza del trattamento (C83)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

[6] Articolo 35 Valutazione d’impatto sulla protezione dei dati (C84, C89-C93, C95)

1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti

previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.

3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

4. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.

5. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.

6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.

7. La valutazione contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati

e delle altre persone in questione.

8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.

9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

10. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e),trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.

11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

dispositivo medico
Attacco Ransomware

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

ChatGPT
Il Garante infligge una multa da 15 milioni di euro ad OpenAI per violazione della privacy di ChatGPT
1 Febbraio 2025
Segnalazione di non conformità
Lo European data Protection Board, in data 2 dicembre 2024, ha pubblicato le linee guida relative all’applicazione dell’art. 48 del GDPR.
28 Gennaio 2025
Data Retention
Policy in materia di Data Retention.
5 Febbraio 2024

Start typing and press Enter to search