venerdì 28 ottobre 2016

Privacy: PIA e valutazione del rischio

Sulla newsletter di ottobre 2016 del European data protection supervisor (EDPS) si trova un articolo dal titolo "ISRM and DPIAs: what they are and how they differ". L'articolo si trova a pagina 4 del pdf:
- https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Newsletters/Newsletter_49_EN.pdf.

Secondo l'EDPS, la valutazione del rischio relativo alla sicurezza delle informazioni (ISRM), riguarda solo i rischi di sicurezza, mentre il privacy impact assessment (PIA) è più ampio e include anche i casi in cui potrebbero essere violati i diritti degli interessati.

Il ragionamento, però, non mi convince: quando il Regolamento richiama i rischi, essi riguardano principalmente i trattamenti e i diritti degli interessati. Quindi: quando si parla di rischi in ambito privacy, io non vedo differenza tra ISRM e PIA.

Per i più attenti: il "risk assessment" è una parte del "risk management" e, a rigore, non ha senso paragonare un meccanismo gestionale (ISRM) con uno di valutazione (PIA), ma credo che sia stato fatto un errore terminologico e con ISRM intendano ISRA (information security risk assessment).

L'ISRM è richiesto dal Regolamento Europeo 45/2001, sulla protezione dei dati personali da parte delle istituzioni e degli organismi comunitari (mentre il recente GDPR, ossia il Regolamento 679/2016, riguarda tutte le entità).

L'EDPS ha anche pubblicato a marzo (quindi i riferimenti normativi non sono corretti, visto che il GDPR è stato pubblicato a maggio) una linea guida gli ISRM. Essa è in realtà un riassunto della ISO/IEC 27005:
- https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Guidelines/16-03-21_Guidance_ISRM_EN.pdf.

Grazie a Pierfrancesco Maistrello per alcuni consigli e precisazioni su questo post. E anche Agostino Oliveri e Andrea Praitano per la correzione all'esatto riferimento del GDPR.

Nessun commento:

Posta un commento