Analisi dei rischi che incombono sui dati
Nel processo di costruzione del Sistema Privacy è fondamentale la fase di analisi dei rischi che incombono sui dati, in quanto, è sulla base della valutazione del potenziale accadimento e livello di gravità che vanno adottate le misure di sicurezza a garanzia e disponibilità dei dati.
E' necessario, quindi, descrivere i principali eventi potenzialmente dannosi per la sicurezza dei dati e valutarne le possibili conseguenze e la gravità, in relazione al contesto fisico-ambientale di riferimento ed agli strumenti elettronici che vengono utilizzati per il trattamento.
Il Codice impone al Titolare di ridurre al minimo, con idonee e preventive misure di sicurezza: i rischi di distruzione o perdita, anche accidentale dei dati; di accesso non autorizzato; di trattamento non consentito o non conforme alle finalità della raccolta.
Ma i possibili rischi che gravano sui dati (direttamente o indirettamente, se riferiti alle strutture mediante le quali si procede al trattamento) sono numerosi e quindi sono difficilmente catalogabili.
In termini di carattere generale, i rischi per i dati possono essere ricondotti alle seguenti categorie:
- danneggiamento e/o sottrazione delle strutture di hardware;
- danneggiamento (doloso, colposo o accidentale) del server, del software e dei dati contenuti al loro interno;
- distruzione, alterazione, diffusione e/o comunicazione non autorizzata dei dati, anche di quelli meramente personali.
Pertanto, le informazioni essenziali da trattare sono quelle suggerite dal Garante nella "Guida Operativa":
- Elenco degli eventi. Occorre individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti eventi:
1) comportamenti degli operatori:
- sottrazione di credenziali di autenticazione
- carenza di consapevolezza, disattenzione o incuria
- comportamenti sleali o fraudolenti
- errore materiale
- sottrazione di credenziali di autenticazione
- carenza di consapevolezza, disattenzione o incuria
- comportamenti sleali o fraudolenti
- errore materiale
2) eventi relativi agli strumenti:
- azione di virus informatici o di programmi suscettibili di recare danno
- spamming o tecniche di sabotaggio
- malfunzionamento, indisponibilità o degrado degli strumenti
- accessi esterni non autorizzati
- intercettazione di informazioni in rete
- azione di virus informatici o di programmi suscettibili di recare danno
- spamming o tecniche di sabotaggio
- malfunzionamento, indisponibilità o degrado degli strumenti
- accessi esterni non autorizzati
- intercettazione di informazioni in rete
3) eventi relativi al contesto fisico-ambientale:
- ingressi non autorizzati a locali/aree ad accesso ristretto
- sottrazione di strumenti contenenti dati
- eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria
- guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
- errori umani nella gestione della sicurezza fisica
- ingressi non autorizzati a locali/aree ad accesso ristretto
- sottrazione di strumenti contenenti dati
- eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria
- guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
- errori umani nella gestione della sicurezza fisica
- Impatto sulla sicurezza. Si devono descrivere le principali conseguenze per la sicurezza dei dati, in relazione a ciascun evento e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell'evento stesso.