Per coloro che ancora non la conosco, alla fine dell’anno 2017, ENISA (European Union Agency for Network and Information Security), ha pubblicato un Manuale sulla Sicurezza nel trattamento dei dati personali, allo scopo di aiutare le PMI, che agiscono in qualità di Titolari del trattamento, a confrontarsi e conformarsi a criteri di sicurezza nel trattamento dei dati valutabili in modo oggettivo.
Il Manuale ENISA costituisce un approfondimento del testo pubblicato nel 2016 che già conteneva alcune linee guida per le PMI, finalizzate all’analisi dei rischi di sicurezza ed alla conseguente adozione di adeguate contromisure per la protezione dei dati personali.
Già mesi fa avevo dedicato uno dei miei articoli (“risk-based approach e GDPR”) a segnalare come uno dei principali compiti posti a carico del Titolare del trattamento dal GDPR sia quello di vagliare i rischi sottesi alle attività di trattamento dei dati personali: il risk-based approach si pone, quindi, come prerequisito per l’individuazione delle misure tecniche e organizzative adeguate richieste dall’art. 24 GDPR per dimostrare il corretto trattamento dei dati personali da parte delle aziende.
Già nel 2012 il nostro Garante per la Protezione dei Dati Personali aveva rilevato che le principali aree di rischio, nel trattamento dei dati, sono:
- comportamenti degli operatori: rischi di furto di credenziali di autenticazione, carenza di consapevolezza negli operatori, disattenzione, comportamenti sleali e/o fraudolenti, errore materiale;
- eventi relativi agli strumenti informatici: virus, malware o altro software malevolo; spam o altre tecniche di cyber sabotaggio, malfunzionamento delle macchine, indisponibilità o degrado degli strumenti, accessi telematici non autorizzati, intercettazione di informazioni in rete;
- eventi relativi allo spazio fisico: accessi non autorizzati a locali o reparti ad accesso ristretto, asportazione o furto di strumenti contenenti dati personali;
- eventi distruttivi: naturali, artificiali, dolosi, accidentali, dovuti ad incuria, guasto ai sistemi di sostegno (elettrico, climatizzazione), errori umani in fase di sicurezza.
Per affrontare in modo consapevole questa pluralità di rischi è, pertanto, necessario svolgere un accurato e costante monitoraggio di tutti i processi più esposti, anche attraverso periodici audit.
In questo contesto, i criteri di sicurezza elaborati da ENISA appaiono estremamente utili ad aiutare gli imprenditori, dato che il Manuale pubblicato nel 2016 ed integrato nel 2017 utilizza i parametri i seguenti parametri di riferimento:
- riservatezza
- integrità
- disponibilità
dei dati personali, attraverso un approccio basato sul rischio.
Conseguenza immediata e diretta del suddetto metodo di analisi (risk-based) adottato da ENISA è il principio, fatto proprio dal GDPR (con particolare riferimento all’art. 32), secondo cui, più è alto il rischio, più rigorose devono essere le misure di protezione adottate.
Il Manuale ENISA si concentra prevalentemente sui processi di elaborazione elettronica dei dati personali posti in essere dalle PMI che si basano su reti, sistemi informatici e nuove tecnologie digitali (device mobili, cloud computing, etc.) e individua un approccio semplificato per la valutazione del rischio.
Questo approccio si basa su quattro fasi, così distinte:
- definizione delle operazioni di trattamento (individuando le varie fasi: raccolta, conservazioni, utilizzo, trasferimento, etc.) e del suo contesto;
- comprensione e valutazione dell’impatto (ENISA individua quattro livelli: basso, medio, alto e molto alto, a seconda delle conseguenze che derivano all’interessato dalla perdita dei propri dati nella loro triplice componente di riservatezza, integrità e disponibilità);
- comprensione delle possibili minacce (sia interne, sia esterne) correlate al trattamento e valutazione delle loro probabilità di occorrenza: ENISA ha definito una serie di domande che il Titolare del trattamento deve porsi in relazione a quattro aree di valutazione (risorse di rete e tecniche; processi e procedure delle attività di trattamento; persone coinvolte nel trattamento; settore di operatività);
- all’esito delle precedenti fasi, la valutazione del rischio sarà determinata dalla combinazione delle probabilità di accadimento della minaccia e del valore dell’impatto e viene individuata in una tabella a tre colonne colorate suddivisa nei tre livelli basso/medio/alto.
Seguendo questa metodologia di valutazione del rischio, il Titolare del trattamento può, quindi, adottare le misure di sicurezza, tecniche ed organizzative, specificamente individuate in un elenco proposto da ENISA (e basato sul livello di rischio: Tabella A 1 – basso; Tabella A 2 – medio; Tabella A 3 – alto) ed appropriate al livello di rischio ricostruito seguendo la metodologia sopra esposta.
Ancorché i criteri individuati e consigliati da ENISA con gli esempi specifici individuati nel Manuale del 2017 non possono (né potrebbero, data la loro natura) costituire una valida analisi di tipo legale in merito all’effettiva e concreta adeguatezza delle misure adottate da un Titolare del trattamento, è pur vero che questi rappresentano un ottimo e serio criterio di confronto per chiunque intenda fare una valida e corretta valutazione – sia in fase di prima applicazione, sia nelle successive verifiche periodiche – delle misure tecniche ed organizzative adottate da un Titolare del trattamento per testare la loro conformità alle disposizioni del GDPR.