GDPR. Privacy Risk Management.

file:///C:/Users/Utente/Documents/Libri/GDPR/9788831658096.epub

Indice

1 Introduzione

1.1 Guida all’uso del volume

1.2 Il valore del libro

2 Il quadro normativo

2.1 Le norme di riferimento

2.1.1 ISO/IEC 27001 e ISO/IEC 27002

2.1.2 ISO/IEC 29100

2.1.3 ISO/IEC 27701

2.2 Sicurezza delle informazioni e Privacy

2.3 Le norme per l’information security risk management e privacy impact assessment (PIA)

3 Il rischio

3.1 Il concetto del rischio

3.2 Un approccio ingegneristico

3.3 Gli elementi coinvolti nel rischio

3.4 Metodologie per l’analisi dei rischi

3.5 Risk-based Thinking

3.6 L’approccio per processi e il Risk-based Thinking

4 Privacy information governance

4.1 Il modello della Privacy Information Governance

4.2 I principi che guidano la privacy

4.2.1 Principi per la privacy

4.2.2 Privacy by design

4.2.3 Privacy by default

4.3 Framework per la privacy

4.4 Il processo di Privacy Risk Management

4.4.1 I riferimenti normativi

4.4.2 Impostazione del processo

5 Sviluppo del processo Privacy Risk Management

5.1 Il modello del processo

5.1.1 Requisiti normativi

5.1.2 Le fasi del processo

5.2 Stabilire il contesto dell’organizzazione

5.2.1 Considerazioni generali

5.2.1.1 Requisiti normativi

5.2.1.2 Attori e ruoli per la privacy

5.2.1.3 Costituzione del Gruppo Privacy Risk Management

5.2.1.4 Attività dell’analisi del contesto

5.2.2 Analisi del contesto esterno

5.2.3.1 Applicazione del modello Defence-in-Depth

5.2.3.1.1 Il dominio fisico organizzativo

5.2.3.1.1.1 Informazioni generali sull’azienda

5.2.3.1.1.2 Organigramma aziendale

5.2.3.1.1.3 Descrizione fisica della sede

5.2.3.1.2 Il dominio informatico

5.2.3.2 Determinazione e descrizione degli Scenari d’Uso e dei Processi

5.2.4 Analisi delle esigenze e delle aspettative degli stakeholder

5.2.5 Definizione del campo di applicazione del processo di Privacy Risk Management

5.2.6 Criteri per la gestione dei rischi

5.2.6.1 Requisiti normativi

5.2.6.2 Impostazione dei criteri

5.2.6.3 Criteri di valutazione degli Impatti (Imp)

5.2.6.4 Criteri di valutazione (stima) delle Probabilità (Pi)

5.2.6.4.1 Approccio 1: valutazione (stima) della Probabilità (Pi) dell’incidente

5.2.6.4.2 Approccio 2: valutazione (stima) della Probabilità (Pi) dell’incidente come combinazione delle Probabilità Pm e Pv

5.2.6.4.3 La scala per la stima delle Probabilità di una causa (minaccia Pm o vulnerabilità Pv) o di un incidente Pi

5.2.6.5 Criteri di valutazione dei rischi

5.3 Privacy Risk Assessment

5.3.1 Considerazioni generali

5.3.2 Identificazione dei rischi

5.3.2.1 Requisiti normativi

5.3.2.2 Dove ricercare i rischi?

5.3.2.3 Identificazione delle informazioni e dei dati personali

5.3.2.3.1 Categorie delle informazioni e dei dati personali

5.3.2.3.2 Tipologie di trattamento

5.3.2.4 Identificazione dei dati e delle risorse informative

5.3.2.5 Identificazione degli Impatti

5.3.2.5.1 Approccio per l’identificazione degli impatti sui dati personali

5.3.2.5.2 Requisiti del GDPR in riferimento a DPIA

5.3.2.5.2.1 Articolo 35, par. 3: valutazione d’impatto sulla protezione dei dati

5.3.2.5.2.2 Articolo 35, par. 4: Elenco delle tipologie di trattamenti soggetti a DPIA

5.3.2.5.3 Riferimenti a soggetti vulnerabili

5.3.2.6 Identificazione delle minacce

5.3.2.7 Identificazione delle vulnerabilità

5.3.2.8 Elenco dei potenziali incidenti

5.3.3 Analisi dei rischi (risk analysis)

5.3.3.1 Requisiti normativi

5.3.3.2 Attività dell’Analisi dei rischi

5.3.3.3 Valutazione (stima) degli Impatti (Imp)

5.3.3.4 Valutazione (stima) delle Probabilità (Pi) degli incidenti

5.3.4 Valutazione (ponderazione) dei rischi (risk evaluation)

5.3.4.1 Requisiti normativi

5.3.4.2 Attività di valutazione (ponderazione) dei rischi

5.3.4.3 Determinazione dei Rischi Parziali (Ri)

5.3.4.4 Calcolo del Rischio Aggregato (RAgg)

5.3.4.5 Mappa dei Rischi Parziali (Ri)

5.3.4.6 Priorità di trattamento dei Rischi Parziali (Ri)

5.4 Punto decisionale 1

5.5 Trattamento dei rischi

5.5.1 Requisiti normativi

5.5.2 Attività per il trattamento dei rischi

5.5.3 Le opzioni per il trattamento dei rischi

5.5.3.1 Modificare i rischi

5.5.3.2 Accettare i rischi

5.5.3.3 Evitare i rischi

5.5.3.4 Condividere o trasferire i rischi

5.5.4 Identificazione delle misure/controlli

5.5.4.1 Identificazione delle misure/controlli da implementare

5.5.4.2 Identificazione delle misure/controlli esistenti

5.5.4.3 Dichiarazione di Applicabilità (SoA)

5.5.5 Calcolo dei Rischi Residui (RR) e del Rischio Residuo Aggregato (RAgg)

5.5.6 Piano di Trattamento dei rischi

5.6 Punto decisionale 2

5.7 Accettazione dei Rischi Residui

5.8 Implementazione delle misure/controlli del Piano di Trattamento dei Rischi

5.9 Comunicazione e consultazione

5.10 Monitoraggio e riesame

6 Caso di studio: azienda Abc s.r.l.

6.1 Introduzione al caso di studio

6.2 Stabilire il contesto di ABC S.r.l.

6.2.1 Analisi del contesto esterno dell’azienda

6.2.2 Analisi del contesto interno dell’azienda

6.2.2.1 Il dominio fisico organizzativo

6.2.2.1.1 Informazioni generali sull’azienda

6.2.2.1.2 Descrizione fisica della sede

6.2.2.1.3 Organigramma di ABC S.r.l.

6.2.2.2 Il dominio informatico di ABC S.r.l.

6.2.2.3 Determinazione degli Scenari d’Uso e dei processi di ABC S.r.l.

6.2.2.4 Campo di applicazione del processo di Privacy Risk Management

6.2.2.5 Il processo di Elaborazione Paghe

6.2.2.6 Architettura della catena del servizio SaaS

6.2.2.7 Determinazione dello Scenario d’Uso e del Processo

6.2.3 Analisi delle esigenze e delle aspettative degli stakeholder

6.2.4 Criteri per la gestione dei rischi

6.3 Privacy Risk Assessment

6.3.1 Identificazione dei rischi

6.3.1.1 Identificazione dei dati personali

6.3.1.2 Identificazione degli asset

6.3.1.3 Identificazione degli impatti

6.3.1.4 Identificazione delle minacce, delle vulnerabilità e degli incidenti

6.3.1.4.1 Raccolta e archiviazione dei dati e interazione con il Browser Client

6.3.1.4.2 Interazione tra Browser Client e Web Server

6.3.1.4.3 Interazioni tra Web Server e SQL Database e viceversa

6.4 Analisi dei rischi (risk analysis)

6.4.1 Valutazione (stima) degli impatti (Imp)

6.4.1.1 Valutazione (stima) della perdita della Riservatezza

6.4.1.2 Valutazione (stima) della perdita dell’Integrità

6.4.1.3 Valutazione (stima) della perdita della Disponibilità

6.4.2 Valutazione (stima) delle Probabilità (Pi) degli incidenti

6.4.3 Valutazione (ponderazione) dei rischi (risk evaluation)

6.4.3.1 Determinazione dei Rischi Parziali (Ri)

6.4.3.2 Calcolo del Rischio Aggregato (RAgg)

6.4.3.3 Mappa dei Rischi Parziali (Ri)

6.4.3.4 Priorità di trattamento dei Rischi Parziali (Ri)

6.5 Punto decisionale 1

6.6 Trattamento dei rischi

6.6.1 Identificazione delle misure/controlli

6.6.1.1 Identificazione delle misure/controlli da implementare

6.6.1.2 Identificazione delle misure/controlli esistenti

6.6.1.3 Dichiarazione di Applicabilità (SoA)

6.6.2 Calcolo dei Rischi Residui (RR) e del Rischio Residuo Aggregato (RAgg)

6.6.3 Piano di Trattamento dei rischi

6.7 Punto decisionale 2

6.8 Accettazione dei Rischi Residui

6.9 Implementazione delle misure/controlli del Piano di Trattamento dei Rischi

7 Bibliografia

APPENDICE 1 - Scenari d’Incidenti: Vulnerabilità, Minacce E Incidenti

App1.1 Introduzione

App1.2 Tipologia di area: Organizzazione e sede fisica

App1.3 Tipologia di area: Hardware

App1.4 Tipologia di area: Controllo Accessi

App1.5 Tipologia di area: Networking

App1.6 Tipologia di area: Personale

App1.7 Tipologia di area: Documenti cartacei

App1.8 Tipologia di area: Software

App1.8.1 Elenco di scenari di incidenti per il SW

App1.8.2 OWASP Top 10 Vulnerabilities

App1.8.3 Modelli di categorizzazione delle minacce

App1.8.4 Il modello STRIDE di Microsoft (fonte AgID8)

App1.8.5 Valutazione delle minacce e delle vulnerabilità

App1.8.6 Vulnerability Assessment: Metodi per la gestione delle vulnerabilità tecniche

APPENDICE 2 - Strumenti e tecniche per il Privacy Risk Management

APPENDICE 3 – indice delle figure

APPENDICE 4 – indice delle tabelle

Ioan­nis Tsiou­ras

GD­PR

Pri­va­cy Ri­sk Ma­na­ge­ment

Li­nea Gui­da

per la va­lu­ta­zio­ne dell’im­pat­to e dei ri­schi re­la­ti­vi al­la si­cu­rez­za del­le in­for­ma­zio­ni e dei da­ti per­so­na­li in con­for­mi­tà al­la ISO/IEC 27701 con l’esten­sio­ne al­le ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27018

La me­to­do­lo­gia sod­di­sfa i re­qui­si­ti del­la nor­ma

ISO/IEC 27001 e i re­qui­si­ti del GD­PR

You­can­print

Ti­to­lo | GD­PR - Pri­va­cy Ri­sk Ma­na­ge­ment

Au­to­re | Ioan­nis Tsiou­ras

Co­per­ti­na a cu­ra dell’au­to­re

Linkedin: linkedin.com/in/ioannistsiouras/

Fa­ce­book: fa­ce­book.com/Ioan­nis Tsiou­ras

Twit­ter: twit­ter.com/iTsiou­ras

Ioan­nis Tsiou­ras, 2020

ISBN | 9788831658096

© 2020 - Tut­ti i di­rit­ti ri­ser­va­ti all’Au­to­re

Que­sta ope­ra è pub­bli­ca­ta di­ret­ta­men­te dall'Au­to­re tra­mi­te la piat­ta­for­ma di sel­fpu­bli­shing You­can­print e l'Au­to­re de­tie­ne ogni di­rit­to del­la stes­sa in ma­nie­ra esclu­si­va. Nes­su­na par­te di que­sto li­bro può es­se­re per­tan­to ri­pro­dot­ta sen­za il pre­ven­ti­vo as­sen­so dell'Au­to­re.

You­can­print

Via Mar­co Bia­gi 6 - 73100 Lec­ce

www.you­can­print.it

in­fo@you­can­print.it

A So­fia, Mat­tia

e Nau­si­caà

Ioan­nis Tsiou­ras na­sce in Gre­cia, do­ve com­pie gli stu­di clas­si­ci e scien­ti­fi­ci nel­la scuo­la dell’ob­bli­go e in se­gui­to si lau­rea in In­ge­gne­ria in Ita­lia, do­ve vi­ve da più di qua­rant’an­ni. Nell’am­bi­to pro­fes­sio­na­le le sue espe­rien­ze tro­va­no con­sen­si in­ter­na­zio­na­li at­tra­ver­so la pub­bli­ca­zio­ne di li­bri e ar­ti­co­li in ri­vi­ste na­zio­na­li e in­ter­na­zio­na­li e co­me mem­bro esper­to sull’ec­cel­len­za nel bu­si­ness e sul Ri­sk Ma­na­ge­ment in co­mi­ta­ti ita­lia­ni ed eu­ro­pei. È au­to­re di ar­ti­co­li e dei se­guen­ti li­bri edi­ti da di­ver­se ca­se edi­tri­ci:

Risk Management – La norma ISO 31000:2018. La metodologia per applicare efficacemente il risk management in tutti i contesti, Youcanprint Self-Publishing, 2018.

Pensiero basato sul rischio – Risk-based thinking, ebook, Youcanprint Self-Publishing, 2016.

La sicurezza delle informazioni - Dal Sistema di Gestione alla sicurezza dei sistemi informatici. Le norme BS 7799-2 e ISO/IEC 15408 (Common Criteria), FrancoAngeli, Milano, 2004.

La progettazione del sistema di gestione nelle organizzazioni ad alta intensità informativa - Dalla ISO 9000 alla modellazione del business, FrancoAngeli, Milano, 2005.

Guida alla certificazione ISO 9000 per le organizzazioni utenti e le aziende di informatica, FrancoAngeli, Milano,1998.

Governo e Miglioramento dei Processi, FrancoAngeli, Milano, 1998.

1. introduzione

La pro­te­zio­ne del­le per­so­ne fi­si­che con ri­guar­do al trat­ta­men­to dei da­ti di ca­rat­te­re per­so­na­le è un di­rit­to fon­da­men­ta­le ed è sta­bi­li­to nel­la Car­ta dei di­rit­ti fon­da­men­ta­li dell’Unio­ne Eu­ro­pea (Car­ta) e dal Trat­ta­to sul Fun­zio­na­men­to dell’Unio­ne Eu­ro­pea (TFEU).

Sul­la ba­se dei do­cu­men­ti so­pra ci­ta­ti e sul­la ba­se di al­tre nor­me e leg­gi al li­vel­lo eu­ro­peo, il Par­la­men­to eu­ro­peo e il Con­si­glio dell’Unio­ne Eu­ro­pea ha emes­so il 4 mag­gio 2016 il Re­go­la­men­to Ge­ne­ra­le sul­la Pro­te­zio­ne dei Da­ti che è sta­to pub­bli­ca­to in Gaz­zet­ta Uf­fi­cia­le Eu­ro­pea con il ti­to­lo Re­go­la­men­to UE n. 2016/679 (in se­gui­to an­che il "GD­PR¹"), il qua­le è en­tra­to in vi­go­re il 25 mag­gio 2018.

Il GD­PR, quin­di, ha l’obiet­ti­vo di ar­mo­niz­za­re la tu­te­la dei di­rit­ti e del­le li­ber­tà fon­da­men­ta­li del­le per­so­ne fi­si­che nel­le at­ti­vi­tà di trat­ta­men­to dei da­ti e as­si­cu­ra­re la li­be­ra cir­co­la­zio­ne dei da­ti per­so­na­li tra Sta­ti Mem­bri.

Il GD­PR si in­se­ri­sce all'in­ter­no di quel­lo che, in­sie­me al­la Di­ret­ti­va 2016/680, è sta­to de­fi­ni­to il Pac­chet­to eu­ro­peo pro­te­zio­ne da­ti.

Gli Sta­ti mem­bri, seb­be­ne il GD­PR non ab­bia bi­so­gno di re­ce­pi­men­to, han­no avu­to due an­ni per ade­gua­re le pro­prie nor­ma­ti­ve in­ter­ne e per sen­si­bi­liz­za­re le azien­de al­le no­vi­tà in­tro­dot­te e all’ade­gua­men­to dei pro­pri trat­ta­men­ti.

Il GD­PR, dal­la sua en­tra­ta in vi­go­re, ha so­sti­tui­to i con­te­nu­ti del­la di­ret­ti­va sul­la pro­te­zio­ne dei da­ti (Di­ret­ti­va 95/46/CE) e, in Ita­lia, at­tra­ver­so il D. Lgs 101 del 10 ago­sto 2018, ha abro­ga­to gli ar­ti­co­li del co­di­ce per la pro­te­zio­ne dei da­ti per­so­na­li del D. Lgs. n. 196/2003, con es­so in­com­pa­ti­bi­li.

Il Re­go­la­men­to pro­muo­ve la re­spon­sa­bi­liz­za­zio­ne (ac­coun­ta­bi­li­ty) del ti­to­la­re del trat­ta­men­to e l’ado­zio­ne di po­li­ti­che e ap­proc­ci che ten­ga­no con­to co­stan­te­men­te del ri­schio che un de­ter­mi­na­to trat­ta­men­to di da­ti per­so­na­li può com­por­ta­re per i di­rit­ti e le li­ber­tà de­gli in­te­res­sa­ti.

Il con­cet­to del­la pro­te­zio­ne pre­ven­ti­va dei da­ti è uno dei re­qui­si­ti prin­ci­pa­li del re­go­la­men­to. In­fat­ti, il Con­si­de­ran­do 83 spe­ci­fi­ca che "per man­te­ne­re la si­cu­rez­za e pre­ve­ni­re trat­ta­men­ti in vio­la­zio­ne al re­go­la­men­to, il ti­to­la­re del trat­ta­men­to o il re­spon­sa­bi­le del trat­ta­men­to do­vreb­be va­lu­ta­re i ri­schi ine­ren­ti al trat­ta­men­to e at­tua­re mi­su­re per li­mi­ta­re ta­li ri­schi."

È im­por­tan­te per­ciò sot­to­li­nea­re che, poi­ché il con­cet­to del ri­schio è un re­qui­si­to cen­tra­le nel GD­PR, do­vreb­be es­se­re gui­da­to dall’ap­proc­cio ri­sk-ba­sed thin­king (pen­sie­ro ba­sa­to sul ri­schio) e ge­sti­to con la pro­spet­ti­va del ri­sk-ba­sed ap­proa­ch (ap­proc­cio ba­sa­to sul ri­schio), cioè: tan­to più ele­va­to è il li­vel­lo di ri­schio (per i di­rit­ti e le li­ber­tà de­gli in­te­res­sa­ti), tan­to più strin­gen­ti de­vo­no es­se­re le mi­su­re e i con­trol­li che il ti­to­la­re del trat­ta­men­to de­ve con­si­de­ra­re. Il ri­sk-ba­sed ap­proa­ch rap­pre­sen­ta una ri­spo­sta chia­ra e coor­di­na­ta per l’iden­ti­fi­ca­zio­ne dei ri­schi da una de­ter­mi­na­ta se­rie di cir­co­stan­ze. Im­pli­ca un pro­ces­so di va­lu­ta­zio­ne con­ti­nua dei ri­schi, man ma­no che nuo­ve in­for­ma­zio­ni di­ven­ta­no di­spo­ni­bi­li; per­ciò il ti­to­la­re e il re­spon­sa­bi­le del trat­ta­men­to de­vo­no es­se­re coa­diu­va­ti da per­so­ne com­pe­ten­ti e de­vo­no coin­vol­ge­re per­so­ne esper­te nell’ana­li­si dei da­ti e dei trat­ta­men­ti.

La pro­te­zio­ne dei da­ti fin dal­la pro­get­ta­zio­ne (pri­va­cy by de­si­gn) è l’im­po­sta­zio­ne proat­ti­va per la tu­te­la dei di­rit­ti de­gli in­te­res­sa­ti. Se­con­do que­sto con­cet­to la pro­ba­bi­li­tà e la gra­vi­tà del ri­schio con­nes­so al trat­ta­men­to do­vreb­be­ro es­se­re de­ter­mi­na­te con ri­guar­do al­la na­tu­ra, all’am­bi­to di ap­pli­ca­zio­ne, al con­te­sto e al­le fi­na­li­tà del trat­ta­men­to stes­so. Il ri­schio do­vreb­be es­se­re con­si­de­ra­to in ba­se a una va­lu­ta­zio­ne og­get­ti­va (Con­si­de­ran­do 76).

Oc­cor­re te­ne­re pre­sen­te che la pro­ba­bi­li­tà di una vio­la­zio­ne e quel­la dell’im­pat­to sui di­rit­ti del­le per­so­ne fi­si­che pos­so­no es­se­re de­fi­ni­ti so­la­men­te at­tra­ver­so sti­me ca­rat­te­riz­za­te, tra l’al­tro, da un gra­do di in­cer­tez­za, pron­te a com­pro­met­te­re la va­lu­ta­zio­ne og­get­ti­va del ri­schio.

L’espe­rien­za, l’os­ser­va­zio­ne, l’ap­pro­fon­di­men­to, il coin­vol­gi­men­to del­le per­so­ne esper­te, ma an­che l’ado­zio­ne di ap­proc­ci e me­to­do­lo­gie va­li­da­te e pub­bli­ca­te dal­le nor­me in­ter­na­zio­na­li aiu­ta­no ad au­men­ta­re la co­no­scen­za de­gli even­ti du­ran­te i trat­ta­men­ti dei da­ti e a va­lu­ta­re i ri­schi in mo­do più og­get­ti­vo pos­si­bi­le.

Per af­fron­ta­re l’ar­go­men­to in mo­do si­ste­ma­ti­co ed ef­fi­ca­ce e in mo­do più og­get­ti­vo pos­si­bi­le, il nor­ma­to­re ISO (In­ter­na­tio­nal Or­ga­ni­za­tion for Stan­dar­di­za­tion), a sup­por­to del­la si­cu­rez­za del­le in­for­ma­zio­ni e pri­va­cy, ha emes­so una se­rie di nor­me co­me la ISO/IEC 29100, la ISO/IEC 29151, la ISO/IEC 27001, la ISO 27002, la ISO/IEC 27005, la ISO 27018, la ISO/IEC 27701 e al­tre. Al­cu­ne so­no nor­me di re­qui­si­ti, al­tre in­ve­ce so­no li­nee gui­da.

La nor­ma ISO/IEC 27701, in pri­mis, in­te­gra gli ap­proc­ci, i re­qui­si­ti e i con­trol­li di tut­te le nor­me che trat­ta­no la pri­va­cy e la si­cu­rez­za del­le in­for­ma­zio­ni. Lo sco­po di que­sta in­te­gra­zio­ne è quel­lo di met­te­re a di­spo­si­zio­ne dei ti­to­la­ri del trat­ta­men­to