În GDPR nu vom găsi nici o definiție a riscurilor iar despre cum se face în practică nu am găsit prea multe informații (cu excepția unor articole academice). Înțelegerea mea este că acolo, la riscuri, este „miezul„ GDPR.
Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul și persoana împuternicită de acesta implementează măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc..- Art. 32
Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să-și exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate. – Recital 75
În ghidul dedicat PIA, WP 29:
Un „risc” este un scenariu care descrie un eveniment și consecințele acestuia, estimate în ceea ce privește gravitatea și probabilitatea. Astfel, „gestionarea riscului” poate fi definită ca activitățile coordonate pentru conducerea și controlul unei organizații în ceea ce privește riscurile.
Articolul 35 se referă la un posibil risc ridicat „pentru drepturile și libertățile persoanelor”. Astfel cum este indicat în declarația grupului de lucru pentru protecția datelor instituit în temeiul articolului 29 cu privire la o abordare bazată pe riscuri a cadrelor juridice privind protecția datelor, trimiterea la „drepturile și libertățile” persoanelor vizate se referă în primul rând la dreptul la protecția datelor și a vieții private, dar poate include, de asemenea, alte drepturi fundamentale, cum ar fi libertatea de exprimare, libertatea de gândire, libertatea de circulație, interzicerea discriminării, dreptul la libertate, conștiință și religie.
Consider că un instrument foarte util pentru evaluarea și estimarea riscurilor la adresa datelor cu caracter personal este COBIT 5 for risk (ca primă lectură) completat de RISK SCENARIOS Using COBIT 5 for Risk.
Un scenariu de risc este o descriere a unui eveniment posibil care, atunci când are loc, va avea un impact incert asupra realizării obiectivelor organizației. Impactul poate fi pozitiv sau negativ (cele mai multe definiții ale riscurilor fac referire doar la impactul negativ, ceea ce nu mi se pare tocmai corect). Observăm că definiția este mai clară și mai completă decît cea de la WP29.
Am adaptat puțin o parte din instrumentul de analiză din materialul citat (care se referă la riscuri IT nu la privacy/date cu caracter personal) și a ieșit ceea ce se vede în exemplul de mai jos (cu siguranță va mai suferi ceva modificări în zielele care vor veni) :
|
Scenariu risc |
||||
| Denumire: eroare programare | ||||
| Categorie: Dezvoltare software | ||||
| Scenariu
Un programator face o eroare de programare care permite unui intrus să obțină acces la date cu caracter personal din interfața web a unei aplicații pentru evidența rezultatelor analizelor medicale. Eroarea de programare nu este detectată de procedurile de asigurare a calității (QA) și codul este migrat în producție. |
||||
| Componente | ||||
| Tip amenințare
(Natura evenimentului.) |
☐Intenționat
☒Accidental ☐Eroare ☐Eșec ☐Natural ☐Cerință externă |
|||
| Actor
(Cine declanșează amenințarea care exploatează vulnerabilitatea.) |
☒Intern
☐Extern ☒Uman ☐Non-uman |
|||
| Eveniment
(Se întîmplă ceva ce nu s-a presupus că se va întîmpla sau nu se întîmplă ceva ce s-a presupus că se va întîmpla sau se modifică cirumstanțele. Evenimentele trebuie să aibă cauze și consecințe. Consecințele sînt rezultatul evenimentelor și au impact.) |
☒Divulgare
☐Interupere ☐Modificare ☐Furt ☐Acces neautorizat ☐Distrugere ☐Proiectare greșită ☐Executare greșită ☐Reguli și regulamente ☐Utilizare necorespunzătoare |
|||
| Activ (cauză)
(Un bun cu valoare tangibilă sau intangibilă: resurse umane, aplicații, echipamente, infrastructură, date, informații, reputație). |
☒Proces
☒Resurse umane ☐Structuri organizatorice ☐Infrastructură fizică ☐Infrastructură IT ☐Informații ☐Aplicații |
|||
| Activ (efect)
(Orice ajută la atingerea obiectivului.)
|
☐Proces
☐Resurse umane ☐Structuri organizatorice ☐Infrastructură fizică ☐Infrastructură IT ☒Informații ☐Aplicații |
|||
| Prejudicii | ☐Discriminare
☐Furt identitate ☐Pierdere financiară ☐Compromitere reputație ☒Afectare confidențialitate ☐Inversare pseudonimizare ☐ Dezvăluire origine rasială, etnică, opinie politică, religie… ☐ Profilare ……
|
|||
| Impact asupra persoanei vizate | ☐Neglijabil
☐Limitat ☐Semnificativ ☒Maxim
|
|||
| Timp | Moment
Durată Detecție Interval |
☐Non-Critic
☐Mică ☒Încet ☐Imediat |
☒Critic
☐Moderată ☐Moderata ☒Întîrziat |
☒Mare
☐Instant |
ADRIAN B. MUNTEANU 