Il tema del controllo degli accessi fisici è spesso trascurato nell’ambito della protezione dei dati personali; eppure tale tema è oggetto anche di una famiglia di controlli della ISO IEC 27001. La necessità di tali controlli pone in evidenza come una cattiva gestione dei dispositivi fisici (chiavi, badge) per accedere ai locali dell’organizzazione, e/o dei dispositivi per accedere alle informazioni necessarie per l’accesso (codici di allarmi o altri codici ad esempio per serratura che si apre con PIN e/o applicazione su smartphone) può rendere vulnerabili i dati.

Per sapere quali precauzioni adottare con un assistente vocale, l’ho chiesto al dispositivo Alexa in casa di un amico, ma Alexa non mi ha dato alcuna soddisfazione. Se chiedevo: “Alexa, cos’è un assistente vocale?” mi dava la definizione di “vocale”, se chiedevo: “Alexa, tu cosa sei? sei un assistente vocale?” Alexa si chiudeva in un ostentato mutismo e spegneva tutte le lucette. Alla fine ho rinunciato: gli assistenti vocali non sanno (o non vogliono sapere?) cosa sono gli “assistenti vocali”.

Il tema delle “misure di mitigazione”, da applicare a seguito della valutazione dei rischi, presenta numerose sfaccettature, in questo articolo vengono illustrati alcuni aspetti secondari, ma non per questo non degni di approfondimento.  Le misure di mitigazione sono necessarie per prevenire e per evitare che si ripetano gli eventi che incidono sulla perdita di riservatezza, integrità e disponibilità dei dati personali e, quindi, servono a ridurre gli impatti sugli interessati, a seguito di eventi avversi, in relazione ai loro diritti e alle loro libertà, così come chiede il GDPR.

L’indice priorità di rischio/priority number (IRP - RPN) è un indicatore che permette di individuare quando è necessario intervenire, con misure di mitigazione dedicate, considerando il rischio associato ad un evento inaccettabile e quando invece lo stesso rischio può essere considerato come accettabile. Il Titolare è comunque consapevole che l’unico modo per eliminare un rischio è quello di rimuovere la fonte che lo genera.

L’accountability, come ormai ampiamente condiviso, porta a definire, sulla base della valutazione dei rischi, le misure che servono alla mitigazione degli stessi, agendo sulle leve di gravità, probabilità e rilevabilità. Le misure sono definite dal Titolare del trattamento sulla base della valutazione dei rischi, che può essere condotta secondo approcci diversi. Il risultato della valutazione è l’IRP - indice di priorità del rischio/risk priority number, che deve essere confrontato con il livello di priorità stabilito sulla base del superamento di una determinata soglia di intervento. 

In questo articolo si sviluppa il tema della rilevabilità del rischio, una delle componenti da considerare nella valutazione dei rischio.  La rilevabilità - detectability - (R) misura la facilità di intercettazione/individuazione dell’evento prima che questo si manifesti. Alcuni esempi:

Nell’articolo “La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019” sono stati introdotti alcuni temi sulla valutazione dei rischi confrontando quanto richiesto dalla ISO/IEC 27001:2013, dalla ISO/IEC 27701:2019 e dal REG. UE 2016/679. In questo secondo articolo sul tema si desidera porre l’accento su alcune modalità con le quali può essere condotta la valutazione dei rischi, illustrandole tramite alcuni semplici esempi.

Sulla valutazione dei rischi per la sicurezza dei dati personali, come richiede il Regolamento UE 679/2016, si è molto scritto e molto dibattuto. In questo articolo si vogliono fornire alcune considerazioni sul tema, analizzando i requisiti della ISO/IEC 27001:2013 e della ISO/IEC 27701:2019, alla luce del GDPR. Anzitutto è bene considerare la valutazione dei rischi nella prospettiva della ISO/IEC 27001:2013, della ISO/IEC 27701:2019 e del Regolamento UE 2016/679.

Nell’articolo “Le indagini condotte dal Dpo nel rispetto del principio di minimizzazione” è stato trattato il tema delle invasività delle indagini del Dpo, che deve mediare tra la ricerca di informazioni e l’applicazione del principio della minimizzazione. Tale soggetto non è però l'unico organo chiamato, in particolari circostanze, ad effettuare delle indagini; tale compito spetta anche, ma non solo, all’ Organismo di vigilanza, come previsto dal D.lgs 231/2001 - Responsabilità amministrativa delle società e degli enti - nell'esercizio delle funzioni che gli sono proprie. Valgono quindi, anche per tale ente, le considerazioni che sono già state formulate, oltre ad alcuni elementi aggiuntivi che è opportuno mettere in luce, i quali saranno trattati in questo articolo, che è da considerare la logica prosecuzione del precedente.

Il Data Protection Officer è una funzione di così recente introduzione che stiamo tutti imparando a comprendere come deve esercitare, nel migliore dei modi, il suo ruolo, in particolare in condizioni complesse. In questo articolo si vuole approfondire un tema specifico, spesso trascurato, che riguarda l’invasività delle indagini che il DPO deve svolgere nel rispetto del principio della minimizzazione dei dati. Egli si può trovare infatti a condurre indagini, in modo sostanzialmente analogo a quanto viene svolto dall’Organismo di Vigilanza nominato ai sensi del D.lgs 231/2001, per approfondire, ad esempio: