domenica 12 luglio 2015

Privacy impact assessment

Del Privacy impact assessment (PIA) si parla sempre più diffusamente.

La vigente Direttiva 95/46 richiede di "ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi..." (secondo il testo del nostro Dlgs 196/2003). Il nostro sistema normativo prevedeva inoltre di redigere un Documento programmatico per la sicurezza con un'analisi del rischio relativo alla privacy.

Oggi le bozze di Regolamento Europeo in materia di privacy citano esplicitamente il Privacy impact assessment e alcuni lo stanno già prendendo in considerazione più seriamente dell'analisi del rischio prevista dal famigerato DPS (chissà perché).

Non conosco l'origine del termine, ma una breve ricerca su Google mi ha portato a leggere quelli della Homeland security USA. Essi, anche degli anni 2005-2006 sembrano delle informative estese:
- http://www.dhs.gov/privacy-impact-assessments

In Europa, per quello che è di mia conoscenza, si parla dei PIA dal 2009, quando la Commissione Europea ha emesso "Commission recommendation of 12 May 2009 on the implementation of privacy and data protection principles in applications supported by radio- frequency identification (notified under document number C(2009) 3200) - (2009/387/EC)" in cui si chiede agli operatori di applicazioni RFID di predisporre una "sintesi delle valutazioni degli impatti su privacy e dati " e di descrivere i "rischi verosimili relativi alla privacy, se esistenti, e all'uso di tag nelle applicazioni RFID e le misure che gli individuo possono prendere per mitigare quei rischi":
- https://ec.europa.eu/digital-agenda/en/news/commission-recommendation-12-may-2009-implementation-privacy-and-data-protection-principles

A quel punto, il Art. 29 WP (gruppo collegato alla Commissione Europea) ha emanato delle raccomandazioni per realizzare i PIA, complicando le cose, chiedendo un risk assessment e proponendo una sorta di linea guida abbastanza incompleta ma con una direzione precisa: identificare dei rischi (è proposta una lista di 15 minacce), valutarne gli impatti e la verosimiglianza, assegnare loro un livello (alto, medio, basso), descrivere i controlli di sicurezza, correlarli ai rischi (minacce) e specificare se il rischio risultante è accettable. La documentazione, del 12 gennaio 2011, si trova tra i documenti del WP 29; particolarmente importante è il " Annex: Privacy and Data Protection Impact Assessment Framework for RFID Applications":
- http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm

La situazione è ancora accettabile. Poi la Commissione Europea è passata alle smart grid e nel 2014 ha promosso un modello per realizzare i PIA. Un malloppo di 74 pagine, che promuove una distinzione tra "eventi temuti" e "minacce" (lo studioso che è in me rabbrividisce) e una loro valutazione basata su parametri quali: facilità di identificazione degli interessati, impatti sugli interessati, facilità di riuscità di un attacco, capacità delle minacce di sfruttare le vulnerabilità. Questo per fornire un livello di rischio su 4 livelli, descrivere i controlli e stabilire se sono sufficienti. I documenti (incluso il DPIA template) si trovano qui:
- http://ec.europa.eu/energy/en/topics/markets-and-consumers/smart-grids-and-meters

Le cose peggiorano ancora. Il CNIL (Garante privacy francese), a luglio 2015, ha proposto le proprie linee guida, ovviamente basate sul modello più complicato (quello per le smart grid), introducendo altri concetti un po' a caso come "sorgenti di rischio", anticipando l'analisi dei controlli rispetto all'analisi dei rischi e non fornendo indicazioni utili per correllare rischi e controlli. Sono in francese e in inglese:
- http://www.cnil.fr/linstitution/actualite/article/article/etude-dimpacts-sur-la-vie-privee-suivez-la-methode-de-la-cnil/;
- http://www.cnil.fr/english/news-and-events/news/article/privacy-impact-assessments-the-cnil-publishes-its-pia-manual/.

Ultimo attore: il ISO/IEC JTC1 SC27 WG5 che sta redigendo la ISO/IEC 29134, ora in stato di Committee Draft (cioè, nella migliore delle ipotesi, richiede altre 2 riletture tecniche e uscirà a fine 2016). Questa proposta ha un grande pregio: torna a chiedere un'analisi del rischio basata su due parametri (verosimiglianza e impatto).

Procedo con le conclusioni. Sono convinto della necessità delle analisi del rischio, ma quando vedo un eccesso di complicazione rabbrividisco perché capisco che la teoria (o la furbizia) sta prendendo il sopravvento sulla pratica. Spero che in questo campo non prendano troppo piede le interpretazioni "sbagliate" (come, per esempio, sono state quelle sulla custodia delle password e sul DPS iper-complicato, per citare quelle più ovvie).

Ringrazio Alessandro Cosenza di BTicino, che mi ha fornito molti dei riferimenti sopra citati.

Nessun commento:

Posta un commento