ENISA: uno strumento per la valutazione del rischio di sicurezza

In occasione della Giornata della protezione dei dati personali, il 28 gennaio 2020, l’Agenzia europea per la cyber sicurezza (“ENISA”) ha reso disponibile uno strumento di valutazione del rischio di sicurezza (“Tool”), ai sensi dell’art. 32 del Regolamento UE 679/2016 (“GDPR”), elaborato da un gruppo di lavoro cui ha partecipato anche l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”).

Background normativo

L’art. 32 GDPR impone ai titolari e ai responsabili del trattamento di garantire la sicurezza del trattamento dei dati personali, mettendo in atto misure tecniche e organizzative volte ad assicurare un livello di sicurezza adeguato al rischio connesso alle attività da loro svolte (i.e. distruzione, perdita, ecc.).

Scopo del Tool

Lo scopo del Tool è quello di fornire uno strumento pratico per effettuare la valutazione del rischio di sicurezza del trattamento dei dati personali, individuando le migliori misure tecniche e organizzative da adottare.

In nessun modo questo Tool può sostituire il Data Protection Impact Assessment (“DPIA”), il quale, invece, è una valutazione da effettuarsi solo nel caso in cui il trattamento, svolto mediante l’utilizzo di nuove tecnologie, presenti un rischio elevato per i diritti e le libertà delle persone fisiche (i.e. videosorveglianza, profilazione, etc.).

Chi può utilizzare il Tool?

Il Tool può essere utilizzato da:

  • titolari e responsabili del trattamento che abbiano interesse ad effettuare una valutazione dei rischi connessi alla sicurezza del trattamento al fine di adottare le migliori misure di sicurezza;
  • Auditors e autorità di controllo, per di valutare il risk assessment effettuato da un titolare o responsabile del trattamento e le relative misure di sicurezza da questi implementate.

Struttura e funzionamento del Tool

Il Tool è strutturato in quattro fasi: (i) definizione delle operazioni di trattamento e del loro ambito; (ii) comprensione e valutazione dell’impatto sui diritti e sulle libertà degli individui che, un’eventuale incidente di sicurezza, potrebbe comportare; (iii) definizione delle possibili minacce e della loro probabilità di verificarsi; (iv) la valutazione del rischio (basso, medio o alto) e, infine, (v) selezione delle misure di sicurezza appropriate in base alla valutazione effettuata.

Per ogni fase è predisposto un set minimo di domande, le quali guidano il titolare o responsabile del trattamento verso la migliore la valutazione del rischio di sicurezza.

Inoltre, il Tool offre, ai titolari e responsabili del trattamento, la possibilità di effettuare un’autovalutazione per identificare le misure di sicurezza che dovranno essere adottate o, alternativamente, per monitorare costantemente i progressi fatti in merito alle misure adottate dal titolare o responsabile del trattamento.