, 24/05/2018 17:57
Dal 25 maggio, dopo tanta attesa, finalmente entra in vigore il tanto discusso Regolamento UE 679/2016 anche noto come “GDPR”.
Non mi soffermerò sulle innumerevoli caratteristiche, nuovi requisiti e sanzioni introdotte dal GDPR, perché credo che siano già stati scritti oceani di inchiostro. Vorrei, invece, offrire alcuni suggerimenti pratici per i soci IWA.
1. Analisi dei rischi
Il Regolamento, all’art. 32, prevede che il Titolare e/o il Responsabile adottino le misure di adeguate per garantire un livello di sicurezza adeguato al rischio del trattamento.
Tuttavia, non si precisa una metodologia specifica da seguire per effettuare l’analisi in questione, salvo fornire alcune indicazioni nei considerandi 83 e 85. Si precisa, infatti, che il trattamento potrebbe comportare rischi connessi alla distruzione accidentale o illegale, alla perdita, la modifica la rivelazione o l’accesso non autorizzato ai dati e che da tali eventi potrebbero derivare danni fisici, materiali o immateriali per le persone fisiche.
Il nostro garante, ha fornito alcuni “consigli” ai fini dell’individuazione e gestione del rischio privacy, sia pur con riferimento alla DPIA (la “valutazione di impatto privacy”), senza però entrare nel dettaglio della metodologia da seguire.
Il Garante Francese, invece, già nel 2012, aveva pubblicato uno studio esaustivo sulla metodologia da applicare per l’analisi dei rischi privacy, tra l’altro, piena di utili esempi e di cui consiglio la lettura.
Ancora più interessante è la metodologia pubblicata dal 2016 dall’ENISA (Agenzia europea per la sicurezza delle reti e delle informazioni) per aiutare le PMI ad effettuare la valutazione dei rischi del trattamento e conformarsi alle prescrizioni del GDPR.
La pubblicazione ENISA, in particolare, si fonda su un sistema di 4 fasi:
- Definizione dell’operazione di trattamento e del relativo contesto;
- Comprensione e valutazione dell’impatto per i diritti e le libertà degli interessati, utilizzando metodologie qualitative e una scala di valori BASSO/MEDIO/ALTO/MOLTO ALTO;
- Definizione delle possibili minacce e la valutazione della loro probabilità, mediante un questionario di 20 domande, suddiviso in 4 aree rilevanti (5 domande per area) all’esito del quale si ottiene un risultato compreso tra una scala di valori BASSO/MEDIO/ALTO;
- Valutazione del rischio, combinando la probabilità di accadimento della minaccia e il relativo impatto, in una griglia 3x3 per ottenere la stima del livello di rischio in una scala BASSO/MEDIO/ALTO.
Successivamente si provvede ad individuare le misure di sicurezza tecniche ed organizzative che sono appropriate al livello di rischio, così individuato. Le misure sono, peraltro, perfettamente coerenti con quelle proposte dalla norma ISO 27001:2013 (norma cardine sulla sicurezza delle informazioni).
Qual è il vantaggio di questa metodologia? Consentire alle PMI di effettuare la prescritta valutazione dei rischi in modo semplificato ed in linea con le esigenze di snellezza tipiche di una PMI, dove non vi è di certo la complessa struttura organizzativa di una multinazionale.
2. Cookie e GDPR
In secondo luogo, vorrei ricordare il GDPR non incide sulla disciplina dei cookie che continuano ad essere regolati dalla Direttiva 2002/58/EC (la cd. “Cookie Law”). Per cui le cookie policy elaborate sino ad oggi resteranno salve.
Logicamente, sarebbe preferibile rendere il “consenso” all’installazione dei cookie (nei casi previsti dalla Direttiva 2002/58/EC) in linea anche con le prescrizioni del GDPR in tema (cfr. considerando 32 e art. 7. comma 1, ove si specifica la necessità di un consenso espresso mediante un atto positivo con il quale l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano, oppure i meccanismi semplificati di revoca del consenso).
