Le 6 fasi del PIA (Privacy Impact Assessment)

Posted by

Office Automation, 29 Marzo 2017

PIA, la valutazione d’impatto sulla protezione dei dati personali

Il  PIA (Privacy Impact Assessment) è un processo codificato e strutturato in fasi, dunque uno strumento operativo, che aiuta le organizzazioni aziendali ad analizzare con sistematicità, ad individuare  e a ridurre i rischi privacy per gli individui interessati coinvolti dal rilascio di un nuovo progetto, soluzione o regola. La valutazione d’impatto del trattamento dei dati personali costituisce parte integrante dell’approccio Privacy by Design, ed aiuta ad assicurare che i problemi potenziali siano identificati negli stadi iniziali del progetto quando la possibilità di indirizzarli è spesso più efficace e meno costosa. Le sue fasi devono avere un ciclo ricorsivo per attualizzare la valutazione fatta inizialmente a mano a mano che si procede con il progetto e vengono attuate le misure pianificate. Le fasi del processo PIA possono essere condotte e registrate secondo il seguente schema:

  1. Valutazione preliminare di opportunità per un PIA

Questa fase serve ad un’organizzazione a:

  • spiegare ciò che il progetto intende realizzare, quali sono i benefici attesi per l’organizzazione, per gli individui e per le altre parti
  • decidere, in base ad un insieme di domande mirate di screening, se un PIA sia necessario
  • dimensionare le risorse a seconda dell’entità del progetto e il tempo necessario alla valutazione
  • capire gli impatti potenziali e i passi che potrebbero essere richiesti per identificare e ridurre il rischio.

Una volta che sia stata identificata la necessità di svolgere un PIA si esegue la valutazione di come le fasi di un PIA si integrano in quelle del processo di project management già consolidato all’interno dell’organizzazione. Questo ha lo scopo di far convergere i rilievi emersi dal PIA all’interno delle fasi di sviluppo di un progetto in modo che gli output di ogni fase di progetto ne tengano conto.

  1. Descrizione dei flussi di informazioni e coinvolgimento dei partecipanti

Una valutazione approfondita dei rischi e dei relativi impatti per la privacy è possibile solo se si evidenziano gli elementi che caratterizzano il trattamento dei dati. Occorre descrivere: quali informazioni sono utilizzate; come vengono trattate nelle singole fasi; cosa servono, ovvero per quale finalità; da chi sono ottenute, a chi sono comunicate; chi ne deve avere accesso.

Questa fase del processo PIA può essere supportata da fonti informative già disponibili all’interno dell’organizzazione per descrivere come i dati saranno utilizzati, ad es. un diagramma che riporti i flussi informativi tra i vari soggetti o sistemi, la sequenza prevista delle operazioni di gestione dei dati, rapporti di audit sull’uso delle informazioni, mappe informative, registri di asset informativi.

Ogni organizzazione può decidere chi sia in una posizione più opportuna per coordinare o condurre un PIA.

In ogni caso e’ verosimile che le organizzazioni più complesse si dotino di un DPO che può giocare un ruolo chiave, con l‘autorità di rivolgersi a chi è in grado di guidare le fasi del PIA sui processi esistenti. Questa figura può essere anche in grado di mantenere traccia di tutti i PIA eseguiti e di seguire le implicazioni derivanti dalla nuove.

Laddove non sia stato ancora identificato un DPO è possibile far condurre i PIA da non esperti laddove siano state identificate delle figure di project manager o di risk manager (anche senza conoscenza specialistica sulla protezione dei dati) purché in grado di applicare un metodo guida basato su quesiti che li aiutino a focalizzare gli aspetti rilevanti.

Condurre un PIA significa lavorare in team all’interno di un’organizzazione. Un PIA efficace includerà coinvolgimenti e consultazione di persone provenienti da settori diversi di un’organizzazione in grado, ciascuno, di individuare differenti rischi di privacy e soluzioni basate sulla rispettiva area di interesse o di esperienza.

Laddove opportuno si potrà prevedere l’eventualità di ottenere contributi anche dalle persone che sono direttamente impattate dal nuovo servizio allo scopo di raccogliere riscontri da parte di chi ha una percezione pratica degli effetti.

  1. Identificazione dei rischi privacy e di quelli correlati.

In questa fase occorre valutare gli aspetti di Privacy che espongono il progetto in esame a rischi di Privacy.

Un principio chiave è che il processo PIA è insieme una forma di risk assessment e di risk management per quanto riguarda le implicazioni specifiche di Privacy. Dunque l’organizzazione deve considerare come il progetto potrà generare eventuali problemi alla privacy degli interessati che, a loro volta, si ripercuoteranno sulla stessa organizzazione se non indirizzati correttamente. Ad esempio un progetto che è intrusivo sul fronte del pubblico aumenta anche i rischi di multe, di danni reputazionali, o di perdite di business se rilasciato con carenze o soluzioni inappropriate.

Il problema è come identificare e gestire in modo sistematico l’insieme dei rischi. E’ per questo che nella fase precedente di descrizione dei flussi informativi si è cercato di immaginare una sequenza composta da stadi di utilizzo dei dati come una sequenza logica dei trattamenti, da quando i dati vengono ricevuti dall’esterno a quando vengono aggregati, elaborati, storicizzati e poi ulteriormente trasferiti.

A questo punto è importante applicare a questi stadi un set di quesiti che consenta di far emergere le vulnerabilità e le minacce e su queste determinare gli effetti su cui quantificare gli impatti.

Le organizzazioni potrebbero decidere di usare standard di settore o propri e metodologie di Project Management o di Risk Management per aiutarsi a categorizzare, identificare e misurare i rischi.

Si suggerisce di valutare il rischio in termini di coefficienti di probabilità e di gravità secondo scale numeriche associate a classi di valori.

Il documento centrale di questa fase è il Privacy Risk Register dove sono riportate le descrizioni delle valutazioni fatte, al fine di dettagliare la mappatura dei rischi integrabile nel Risk Register di progetto. E’ implicito che progetti di minore portata possono avere un’approccio al rischio meno formale che riduce il dettaglio dell’analisi riportata nel Risk Register.

  1. Individuazione delle soluzioni e delle misure

In questa fase le organizzazioni hanno bisogno di identificare quali soluzioni possono essere intraprese per i rischi che hanno identificato. Il PIA dovrebbe offrire una serie di possibili opzioni per indirizzare ciascun rischio anche se va considerato che lo scopo non è quello di eliminare completamente l’impatto ma è quello di ridurre l’impatto ad un livello accettabile pur consentendo di realizzare un’iniziativa. Dunque in questa fase, mentre si decide sulle possibili soluzioni, è sempre utile soppesare se gli scopi e i risultati del progetto sono proporzionati con l’impatto previsto sugli interessati. Pertanto è opportuno tener traccia della misura di riduzione di rischio che ogni soluzione intende apportare.

Le organizzazioni hanno anche bisogno di valutare i costi e i benefici delle possibili soluzioni. Alcuni costi sono di natura prettamente finanziari, ad esempio quando deve essere acquistato un nuovo software per garantire un maggiore controllo sull’accesso e sulla conservazione. Ma i maggiori costi devono essere bilanciati rispetto ai benefici attesi, come per esempio una maggiore garanzia per proteggersi da violazioni dei dati, un minore rischio di sanzioni o provvedimenti o di essere esposti ad effetti reputazionali.

  1. Approvazione delle decisioni e registrazione dei risultati

Per le soluzioni che si è deciso di portare avanti è opportuno tener traccia dei passi seguiti nel processo decisionale, compreso chi li abbia approvati. Parimenti, se si fosse deciso di accettare un rischio, dovrebbe essere esplicita l’argomentazione sostenuta e l’assunzione di responsabilità.

Si ritiene utile giungere alla conclusione delle attività producendo un report finale, da allegare alla documentazione di progetto, per riassumere il processo e i passi compiuti per mitigare il rischio privacy e per consentire di ricostruire a posteriori i motivi delle scelte fatte sulla base dei rischi individuati.

Si consideri che una registrazione del processo PIA può anche costituire una forma di comunicazione e di trasparenza verso gli interessati che ne richiedano la consultazione e diventare così una strategia di comunicazione. Si consideri, inoltre, che un report PIA potrebbe non essere il solo documento prodotto come risultato del processo mail PIA potrebbe aver fatto emergere il bisogno di una nuova comunicazione o regola da trasmettere agli interessati.

  1. Integrazione dei risultati del PIA nel piano di progetto

I rilievi PIA e le azioni dovrebbero essere integrate con il piano di progetto complessivo man mano che si sviluppa. Anche se la maggior parte dell’impegno per il PIA risiede nelle fasi iniziali del progetto, potrebbe essere necessario ritornare al PIA in vari stadi dello sviluppo e della realizzazione del progetto per avere conferma che le soluzioni sono state correttamente realizzate e hanno ottenuto l’effetto desiderato.

E’ probabile che i progetti di grande estensione ottengano benefici da un processo di revisione più formale. Un PIA potrebbe generare azioni che continuano dopo che la valutazione è finita per cui è necessario che queste azioni vengano monitorate.

In questa fase occorre tener traccia di ciò che si può imparare per i progetti futuri.

Enrico Toso, 29 gennaio 2016, Europrivacy.it

Tags