Analisi dei rischi che incombono sui dati

Nel processo di costruzione del Sistema Privacy è fondamentale la fase di analisi dei rischi che incombono sui dati, in quanto, è sulla base della valutazione del potenziale accadimento e livello di gravità che vanno adottate le misure  di sicurezza a garanzia e disponibilità dei dati.

E' necessario, quindi, descrivere i principali eventi potenzialmente dannosi per la sicurezza dei dati e valutarne le possibili conseguenze e la gravità, in relazione al contesto fisico-ambientale di riferimento ed agli strumenti elettronici che vengono utilizzati per il trattamento.

Il Codice impone al Titolare di ridurre al minimo, con idonee e preventive misure di sicurezza: i rischi di distruzione o perdita, anche accidentale dei dati; di accesso non autorizzato; di trattamento non consentito o non conforme alle finalità della raccolta.

Ma i possibili rischi che gravano sui dati (direttamente o indirettamente, se riferiti alle strutture mediante le quali si procede al trattamento) sono numerosi e quindi sono difficilmente catalogabili.

In termini di carattere generale, i rischi per i dati possono essere ricondotti alle seguenti categorie:

- danneggiamento e/o sottrazione delle strutture di hardware;
- danneggiamento (doloso, colposo o accidentale) del server, del software e dei dati contenuti al loro interno;
- distruzione, alterazione, diffusione e/o comunicazione non autorizzata dei dati, anche di quelli meramente personali.
 
Pertanto, le informazioni essenziali da trattare sono quelle suggerite dal Garante nella "Guida Operativa":
 
- Elenco degli eventi. Occorre individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti eventi:

1) comportamenti degli operatori:
   - sottrazione di credenziali di autenticazione
   - carenza di consapevolezza, disattenzione o incuria
   - comportamenti sleali o fraudolenti
   - errore materiale

2) eventi relativi agli strumenti:
   - azione di virus informatici o di programmi   suscettibili di recare danno
   - spamming o tecniche di sabotaggio
   - malfunzionamento, indisponibilità o degrado degli strumenti
   - accessi esterni non autorizzati
   - intercettazione di informazioni in rete
3) eventi relativi al contesto fisico-ambientale:
   - ingressi non autorizzati a locali/aree ad accesso ristretto
   - sottrazione di strumenti contenenti dati
   - eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria
   - guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
   - errori umani nella gestione della sicurezza fisica

- Impatto sulla sicurezza. Si devono descrivere le principali conseguenze per la sicurezza dei dati, in relazione a ciascun evento e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell'evento stesso.

Condividi questo articolo