La gestione del rischio: DPIA, ISO IEC 27005 e approccio sistematico

Questo articolo si inserisce in una serie di approfondimenti dedicati alla sicurezza delle informazioni e alla trasformazione digitale in ambito sanitario. In questo contributo, l’attenzione è posta sulla gestione del rischio quale processo strutturato, continuo e integrato nei processi decisionali, fondamentale per garantire la protezione dei dati, la conformità normativa e la resilienza organizzativa. L’analisi introduce i principali concetti del risk management, soffermandosi su definizioni, modelli di valutazione e metodologie operative, con particolare riferimento agli standard internazionali e al quadro normativo europeo.

La gestione del rischio nella sicurezza delle informazioni è definita come l’applicazione sistematica e coordinata di politiche, procedure e pratiche finalizzate alla comunicazione, alla consultazione, alla definizione del contesto, nonché all’identificazione, all’analisi, alla valutazione, al trattamento, al monitoraggio e al riesame dei rischi. Essa costituisce un processo strutturato e continuo, integrato nei processi decisionali dell’organizzazione.

La gestione del rischio, o risk management, rappresenta, dunque, un insieme di processi implementati all’interno delle organizzazioni con l’obiettivo di identificare i rischi, valutarne le implicazioni e definire strategie adeguate a prevenirli o controllarne gli effetti. Un’efficace attività di gestione del rischio consente di monitorare e governare tali rischi, proteggendo l’organizzazione e garantendo la continuità nella generazione di valore. Il risk management, per essere realmente efficace, deve coinvolgere tutti i processi aziendali e integrarsi profondamente nella cultura organizzativa, assumendo così il ruolo di elemento strutturale e imprescindibile dei processi decisionali e operativi dell’impresa^[1].

Bisogna, però, soffermarsi sul concetto di rischio che prevede quattro differenti versioni in merito al suo significato^[2]. La prima, di tipo tradizionale, considera il rischio come una minaccia; la seconda, di tipo finanziario, intende il rischio come variabile; la terza, di tipo manageriale, lo intende come un evento futuro di natura incerta che, qualora si verifichi, è potenzialmente in grado di determinare uno scostamento rispetto agli obiettivi finanziari, strategici o operativi dell’organizzazione^[3]; infine, la versione matematica, intende il rischio come variabile collegata alla probabilità di realizzazione di un certo evento.

Il rischio, a questo punto, può essere efficacemente ricondotto, in termini generali, alla possibilità che si verifichi un evento sfavorevole o un accadimento imprevisto idoneo a determinare una perdita di risorse^[4] e quindi come la probabilità^[5] che accada un certo evento capace di causare un danno. Da tale probabilità si desume l’esistenza di una sorgente di pericolo in grado di trasformarsi in una conseguenza negativa. Ancor di più, il rischio può essere inteso come la potenziale perdita, il danno o la distruzione di un bene o di un’attività derivante dallo sfruttamento di una vulnerabilità da parte di una minaccia.

Queste valutazioni consentono di definire le priorità di intervento e di individuare le strategie più efficaci per la mitigazione dei rischi più significativi, in funzione delle risorse disponibili e dei tempi di attuazione. Un approccio che miri a contrastare indistintamente ogni possibile evento, compresi quelli caratterizzati da bassa probabilità o impatto trascurabile, risulterebbe inefficiente e controproducente, poiché distoglierebbe l’attenzione dalle aree realmente critiche. Per tale motivo la valutazione dell’importanza di un rischio avviene sulla base dei criteri, che costituiscono i parametri di riferimento utilizzati per determinarne la sua rilevanza.

Tali criteri sono definiti considerando il contesto organizzativo interno ed esterno e gli obiettivi prefissati. Vi sono poi fatti d’influenza derivati da requisiti normativi derivanti dal quadro giuridico nazionale ed europeo (ad esempio la NIS 2[6]), standard internazionali^[7], politiche interne o obblighi contrattuali.

In questo ambito si colloca anche il concetto di propensione al rischio, o risk appetite^[8], che esprime la quantità e la tipologia di rischio che l’organizzazione è disposta ad accettare o a sostenere nel perseguimento dei propri obiettivi strategici.

Al fine di gestire i rischi, dunque, l’organizzazione adotta specifici controlli, intesi come misure che consentono di mantenere o modificare un rischio. Anche dopo l’implementazione dei controlli, però, può permanere un rischio residuo, ovvero il rischio rimanente a seguito del trattamento, che può includere sia rischi non completamente mitigati sia rischi consapevolmente accettati. Ciò tenendo a mente che il rischio rimane per tutte le fasi del ciclo di vita dell’organizzazione e si manifesta trasversalmente in ogni progetto intrapreso dall’impresa.

Un elemento chiave nell’analisi del rischio è rappresentato dal suo scenario, inteso come una sequenza o combinazione di eventi che, a partire da una causa iniziale, conduce a una conseguenza indesiderata per l’organizzazione. All’interno di tale scenario, assume particolare rilievo il risk owner, ovvero la persona o l’entità cui è attribuita la responsabilità e l’autorità di gestire uno specifico rischio, inclusa la decisione in merito alle modalità di trattamento o di accettazione dello stesso.

Inoltre, la generazione di un rischio è riconducibile a una o più fonti, ossia elementi che, singolarmente o in combinazione, possono dare origine a situazioni di rischio.

Queste fonti possono essere di natura colposa (accidentale), intenzionale (deliberata) o ambientale; ad esempio, un errore ha caratteristiche accidentali a differenza di un’azione malevola che ha caratteristiche intenzionali^[9].

La gestione dei rischi legati alla sicurezza delle informazioni, quindi, costituisce un processo strutturato volto ad analizzare le relazioni esistenti tra gli asset informativi, le minacce e le vulnerabilità presenti all’interno di uno specifico contesto organizzativo. All’interno del GDPR, infatti, in materia di protezione dei dati personali^[10], viene imposto alle organizzazioni l’adozione di un sistema strutturato e continuativo di valutazione e controllo, concepito come un processo dinamico e non come un’attività occasionale.

Tale sistema ha l’obiettivo di garantire un adeguato livello di sicurezza dei dati personali trattati, prevenendo possibili compromissioni della riservatezza, dell’integrità e della disponibilità delle informazioni. In questo contesto, l’attività di analisi assume un ruolo centrale, poiché consente di determinare il grado di esposizione dei dati ai diversi fattori di rischio. L’individuazione del livello di rischio permette di orientare le decisioni organizzative e tecniche verso le aree maggiormente critiche, favorendo una distribuzione razionale ed efficace delle risorse disponibili.

Accanto all’analisi, il monitoraggio rappresenta uno strumento essenziale per verificare nel tempo l’adeguatezza del sistema di protezione adottato. Attraverso la definizione di parametri di controllo e indicatori di performance oggettivi e misurabili, il monitoraggio consente di valutare lo stato di attuazione delle misure di sicurezza, la loro reale efficacia, il corretto funzionamento del modello organizzativo adottato e il rispetto dei requisiti previsti dal Regolamento, anche in una prospettiva di miglioramento continuo.

La valutazione dei rischi, tuttavia, non può essere ridotta a un semplice esercizio di classificazione o a una rappresentazione numerica di dati. Essa implica scelte consapevoli e decisioni rilevanti che comportano una precisa assunzione di responsabilità da parte del titolare del trattamento. In conformità al principio di accountability, tali decisioni devono essere adeguatamente formalizzate e documentate, attraverso strumenti che rendano trasparenti sia il percorso metodologico seguito sia i criteri utilizzati per attribuire importanza e peso ai diversi elementi presi in esame.

Una documentazione strutturata e coerente consente, inoltre, di ricostruire con chiarezza il processo decisionale adottato, risultando particolarmente rilevante in caso di verifiche o ispezioni da parte delle autorità competenti, al fine di dimostrare la correttezza e la consapevolezza delle scelte effettuate. L’approccio basato sul rischio richiede, preliminarmente, una corretta comprensione dei concetti fondamentali propri del risk management, indispensabili per impostare un’analisi metodologicamente solida. Tra questi, assumono particolare rilievo le nozioni di minaccia, vulnerabilità e rischio.

La minaccia può essere definita come qualsiasi evento o circostanza potenzialmente in grado di generare un effetto negativo su persone, beni o sistemi. Essa è fortemente influenzata dal contesto in cui opera l’organizzazione e dalle specifiche attività di trattamento svolte. Per tale motivo, l’individuazione delle minacce rilevanti deve essere effettuata tenendo conto delle caratteristiche operative e ambientali dell’organizzazione stessa.

A supporto di questa attività, sono stati elaborati nel tempo numerosi repertori di minacce, sviluppati da organismi internazionali specializzati, con l’obiettivo di fornire un riferimento metodologico condiviso. La vulnerabilità, invece, rappresenta una condizione o una modalità di utilizzo di un bene, di un sistema o di un processo che può essere sfruttata da una minaccia per produrre conseguenze dannose. Essa si distingue dalla debolezza strutturale, che costituisce una caratteristica intrinseca dell’oggetto e che, indipendentemente da fattori esterni, può determinare effetti negativi. Il rischio nasce dalla combinazione tra una minaccia e una vulnerabilità e si manifesta come la probabilità che un evento dannoso si verifichi. È fondamentale non confondere il concetto di rischio con quello di minaccia.

Ciò perché la minaccia individua la fonte del pericolo, il rischio esprime la possibilità concreta che tale pericolo si realizzi.

Analoghe considerazioni valgono per l’analisi dell’impatto, le cui conseguenze possono variare sensibilmente in base ai fattori presi in considerazione e al contesto specifico di riferimento. La stima della probabilità e dell’impatto del rischio può essere effettuata attraverso diverse metodologie, che si collocano su un continuum tra approcci più strutturati e approcci più discrezionali. In particolare, è possibile distinguere tra tecniche di tipo quantitativo, fondate su modelli statistico-matematici che garantiscono un elevato grado di oggettività, e tecniche di tipo qualitativo, basate su valutazioni di giudizio, più semplici da applicare ma maggiormente influenzate dalla soggettività di chi effettua la valutazione^[11].

Dunque, il livello complessivo di rischio è determinato in funzione del valore attribuito agli asset coinvolti, della probabilità e dell’intensità delle minacce, nonché del grado di vulnerabilità riscontrato. Gli esiti dell’analisi del rischio vengono opportunamente documentati e includono l’identificazione dei principali rischi rilevati, la valutazione dei potenziali effetti sul business e la definizione di un piano di interventi finalizzato alla mitigazione dei rischi e al loro contenimento entro livelli ritenuti accettabili^[12].

Il processo di gestione del rischio (ISO/IEC 27005)

All’interno dei sistemi di gestione della sicurezza delle informazioni, la gestione del rischio assume un’importanza primaria ed è disciplinata dalla norma internazionale ISO/IEC 27005^[13], che fornisce linee guida operative a supporto dei requisiti previsti dalla ISO/IEC 27001^[14].

Ciò che emerge dallo standard ISO/IEC 27005:2022 è il risk assesment, il quale deve essere svolto secondo modalità formalizzate, coerenti e tracciabili, risultando allineato al contesto organizzativo di riferimento e integrato all’interno del sistema complessivo di gestione del rischio adottato dall’organizzazione.

Tale approccio risulta applicabile a qualsiasi realtà organizzativa, a prescindere dalla dimensione, dal settore operativo o dal grado di maturità dei sistemi informativi, e considera in modo congiunto sia i fattori interni^[15] sia quelli esterni^[16] che influenzano l’operatività dell’organizzazione^[17]. Il risk assesment si articola in tre fasi, cioè: identificazione, analisi e valutazione dei rischi. Ha lo scopo di identificare e definire le fonti di rischio e di analizzarle fornendo un livello di probabilità e un livello di danno dei rischi che impattano gli obiettivi del progetto.

La fase uno (identificazione del rischio) costituisce il punto di partenza dell’intero processo di gestione del rischio e ne determina in modo significativo il grado di successo.

Attraverso questa attività vengono individuati tutti i rischi potenzialmente rilevanti per il progetto; al contrario, una mancata individuazione di uno o più rischi può condurre a conseguenze indesiderate, più o meno gravi, che potrebbero rivelarsi difficili da gestire nel contesto aziendale. L’identificazione dei rischi non si esaurisce in una fase iniziale, ma prosegue lungo tutto il ciclo di vita del progetto, consentendo di individuare tempestivamente nuovi rischi emergenti e di adottare le opportune misure di gestione. Tale attività può essere svolta sia attraverso un approccio tradizionale incentrato sugli asset, sia mediante un approccio orientato agli eventi e agli scenari di rischio^[18].

Questi ultimi permette di partire da situazioni di criticità, da esigenze organizzative o da specifiche preoccupazioni del management, al fine di analizzare catene di eventi che potrebbero evolvere in esiti indesiderati. Inoltre, in questa fase vengono prese in considerazione le minacce^[19], intese come possibili cause di incidenti di sicurezza, e le vulnerabilità^[20], definite come debolezze presenti nei sistemi, nei processi o nei controlli di sicurezza che possono essere sfruttate dalle minacce stesse.

Le minacce possono avere origine interna o esterna e comprendono, a titolo esemplificativo, comportamenti dolosi o accidentali del personale, attacchi informatici, errori umani, malfunzionamenti tecnologici, eventi di natura ambientale, rischi connessi alla catena di fornitura, violazioni della normativa in materia di protezione dei dati personali e azioni volte a compromettere la reputazione dell’organizzazione.

Le vulnerabilità, invece, possono interessare componenti hardware e software, infrastrutture di rete, aspetti di natura organizzativa e misure di sicurezza fisica. Una corretta e sistematica individuazione di minacce e vulnerabilità rappresenta un presupposto imprescindibile per una valutazione del rischio accurata e affidabile. Successivamente, il secondo passaggio è l’analisi del rischio finalizzata alla comprensione delle caratteristiche del rischio stesso e alla definizione del suo livello, mediante la stima della probabilità di manifestazione dell’evento rischioso e della valutazione delle conseguenze che ne deriverebbero.

La probabilità, o likelihood, indica il grado di possibilità che un determinato evento abbia luogo e può essere determinata attraverso l’impiego di scale di natura qualitativa o quantitativa, facendo riferimento a informazioni storiche, precedenti incidenti di sicurezza, frequenza di occorrenza degli eventi e grado di esposizione alle fonti di rischio. Le conseguenze, o impatti, descrivono gli effetti potenziali che la realizzazione del rischio potrebbe produrre sull’organizzazione e sono generalmente analizzate in relazione alla riservatezza, all’integrità e alla disponibilità delle informazioni, oltre che in funzione delle ricadute operative, giuridiche, economiche e reputazionali.

Dopodiché, con la fase di valutazione del rischio si arriva a confrontare gli esiti dell’analisi con i criteri di rischio definiti in precedenza, al fine di determinare il grado di accettabilità del rischio stesso o la necessità di adottare specifiche misure di trattamento. In tale contesto, il livello di rischio può essere rappresentato attraverso un indicatore sintetico derivante dalla combinazione della probabilità di accadimento e della gravità dell’impatto, secondo modalità coerenti con le caratteristiche e le esigenze dell’organizzazione. I rischi così determinati vengono quindi ordinati e gerarchizzati, consentendo di individuare quelli che richiedono azioni tempestive e quelli che possono essere accettati o sottoposti a monitoraggio nel tempo.

Al fine di agevolare la rappresentazione e la comunicazione degli esiti del risk assesment, la norma ISO/IEC 27005:2022 raccomanda l’impiego di matrici dei rischi, sia di natura qualitativa sia quantitativa, che permettono di rappresentare graficamente i rischi in relazione ai livelli di probabilità di accadimento e di impatto delle conseguenze. Le matrici dei rischi costituiscono uno strumento di supporto al processo decisionale, in quanto consentono una più chiara comprensione del profilo di rischio dell’organizzazione e favoriscono il coinvolgimento delle parti interessate. Affinché tali strumenti risultino efficaci, è essenziale che le scale di valutazione e i criteri adottati siano definiti in modo univoco, coerente e condiviso, così da assicurare risultati attendibili e comparabili nel tempo.

Il processo di risk assessment, inoltre, non deve essere considerato statico, ma soggetto a riesame e aggiornamento continuo. La norma richiede che i rischi vengano monitorati nel tempo e rivalutati periodicamente o in occasione di cambiamenti significativi nel contesto organizzativo, tecnologico o normativo, nonché a seguito di incidenti di sicurezza. La documentazione dei risultati della valutazione del rischio e delle decisioni assunte costituisce un elemento essenziale per dimostrare la conformità ai requisiti normativi e supportare il miglioramento continuo del sistema di gestione della sicurezza delle informazioni.

Secondo la ISO 27005 la gestione del rischio passa, inoltre, per alcuni punti importanti, che non si escludono tra loro, nel campo del risk treatment. Questi sono: modifica^[21], mantenimento^[22], elusione^[23] e condivisione^[24] del rischio. La modifica porta all’adozione di misure che annientano la minaccia oppure rendono minime le possibilità che la minaccia si manifesti. Il mantenimento, invece, tiene vivo il rischio senza modificarlo dopo averlo valutato, poiché si può contenere e tollerare.

Successivamente, con l’elusione del rischio si procede all’eliminazione dell’attività o della condizione da cui ha origine lo specifico rischio, adottando un approccio orientato alla sua completa prevenzione. Infine, con la condivisione, il rischio viene trasferito ad altri soggetti o a terze parti, ad esempio mediante la stipula di coperture assicurative o attraverso accordi.

Collegati al risk assessment e al risk treatment sono presenti anche i processi di comunicazione, documentazione monitoraggio e riesame, che costituiscono elementi integranti e interdipendenti della fase di gestione dei rischi per la sicurezza delle informazioni.

L’organizzazione deve stabilire e mantenere processi strutturati, sistematici e continuativi di comunicazione e consultazione, volti a garantire che tutte le informazioni rilevanti sui rischi — comprese l’identificazione, l’analisi, la valutazione, il trattamento e l’accettazione dei rischi residui — siano tempestivamente condivise con le parti interessate competenti, al fine di supportare decisioni informate e coerenti con il contesto organizzativo.

Parallelamente, l’organizzazione deve predisporre, aggiornare e conservare informazioni documentate adeguate che descrivano in modo chiaro e coerente i criteri di valutazione del rischio, le metodologie e gli strumenti utilizzati, i risultati delle analisi svolte, nonché le decisioni e le azioni intraprese in materia di trattamento dei rischi. Tale documentazione costituisce la base per le attività di monitoraggio e riesame, consentendo di valutare nel tempo l’efficacia delle misure di trattamento implementate, di individuare variazioni nel contesto interno ed esterno, nei fattori di rischio o nelle minacce, e di verificare la persistenza dell’accettabilità dei rischi residui.

Il monitoraggio continuo e i riesami periodici permettono, inoltre, di rilevare tempestivamente scostamenti, non conformità o opportunità di miglioramento, assicurando la tracciabilità delle attività svolte, la ripetibilità del processo di gestione dei rischi e il mantenimento della conformità ai requisiti del sistema di gestione della sicurezza delle informazioni, in un’ottica di miglioramento continuo

La DPIA come misura tecnico-organizzativa

Il Regolamento (UE) 2016/679 attribuisce un ruolo centrale alla valutazione dei rischi derivanti dal trattamento dei dati personali, imponendo al titolare del trattamento l’obbligo di considerare preventivamente le possibili conseguenze che tali trattamenti possono avere sui diritti e sulle libertà delle persone fisiche. L’approccio adottato dal legislatore europeo si fonda su una logica di prevenzione e responsabilizzazione, nella quale la tutela dei dati personali è strettamente connessa alla capacità dell’organizzazione di individuare, valutare e gestire i rischi connessi alle proprie attività.

Tale obbligo trova fondamento, in particolare, negli articoli 24^[25] e 35^[26] del GDPR. L’articolo 24 impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi, di diversa probabilità e gravità, per i diritti e le libertà degli interessati. Il titolare non è chiamato soltanto a garantire la conformità al regolamento, ma anche a dimostrarla, secondo il principio di accountability^[27] che attraversa l’intera disciplina della protezione dei dati personali.

L’articolo 35 introduce, invece, una procedura specifica di valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA), che deve essere effettuata nei casi in cui un trattamento, soprattutto se basato sull’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La DPIA consente di descrivere sistematicamente il trattamento, valutarne la necessità e la proporzionalità rispetto alle finalità perseguite e individuare i rischi connessi, al fine di definire misure idonee a prevenirli o ridurli.

La valutazione d’impatto costituisce, pertanto, uno strumento essenziale di attuazione del principio di responsabilizzazione, poiché consente al titolare di dimostrare che il trattamento è stato oggetto di un’analisi preventiva e consapevole. Essa non deve essere intesa come un adempimento meramente formale o burocratico, ma come un vero e proprio strumento di gestione del rischio. Attraverso la DPIA, infatti, il titolare può individuare anticipatamente le criticità del trattamento e predisporre misure di sicurezza adeguate, riducendo la probabilità e la gravità degli impatti negativi sugli interessati.

In linea con i principi di privacy by design e privacy by default, sanciti dall’articolo 25 del GDPR, la valutazione dei rischi deve essere integrata sin dalla fase di progettazione dei trattamenti. Il regolamento non prevede un elenco rigido di adempimenti, ma adotta un approccio basato sul rischio, che impone al titolare di analizzare il proprio contesto organizzativo e di adottare misure tecniche e organizzative calibrate sulle specifiche caratteristiche del trattamento.

La DPIA non è richiesta in ogni circostanza, ma soltanto quando, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, emerga un rischio elevato per i diritti e le libertà delle persone fisiche. In presenza di dubbi sulla necessità di procedere alla valutazione d’impatto, l’orientamento delle autorità di controllo europee suggerisce comunque di svolgerla. Qualora il titolare decida di non effettuare la DPIA, egli è tenuto a documentare adeguatamente le ragioni di tale scelta, poiché l’assenza di una valutazione giustificata può esporre l’organizzazione a rilevanti sanzioni amministrative^[28].

La DPIA, inoltre, deve contenere, ai sensi dell’articolo 35, paragrafo 7, del GDPR, alcuni requisiti minimi. In primo luogo, una descrizione sistematica dei trattamenti previsti e delle relative finalità, con eventuale indicazione dell’interesse legittimo perseguito dal titolare. In secondo luogo, una valutazione della necessità e della proporzionalità dei trattamenti rispetto agli scopi perseguiti, in modo da garantire il rispetto del principio di minimizzazione dei dati. È richiesta anche una valutazione dei rischi per i diritti e le libertà degli interessati, nonché l’individuazione delle misure previste per affrontare tali rischi^[29], comprese le garanzie e le misure di sicurezza idonee a dimostrare la conformità al regolamento.

La DPIA, dunque, si articola generalmente in più fasi, che comprendono la descrizione del trattamento, la valutazione della necessità e proporzionalità, l’analisi dei rischi, l’individuazione delle misure di mitigazione e il monitoraggio nel tempo. Essa è una procedura dinamica, che deve essere aggiornata periodicamente, soprattutto in presenza di modifiche rilevanti del trattamento o del contesto di riferimento.

Per completare l’esame degli obblighi gravanti sul titolare e sul responsabile del trattamento, è necessario soffermarsi sulla figura centrale introdotta dal Regolamento (UE) 2016/679, ossia il responsabile della protezione dei dati, noto come RPD o Data Protection Officer, disciplinato dagli articoli 37, 38 e 39. Il legislatore europeo impone la sua designazione nei casi in cui il trattamento presenti profili di rischio elevato, in particolare quando è svolto da autorità o enti pubblici, quando le attività principali^[30] comportano un controllo sistematico e continuativo degli interessati su larga scala oppure quando riguardano dati sensibili o giudiziari.

È inoltre ammessa la nomina di un unico DPO per gruppi societari o per più enti pubblici, purché sia agevolmente reperibile e adeguato alla struttura organizzativa. Il DPO deve possedere competenze specialistiche in materia di protezione dei dati e operare in piena autonomia, senza ricevere istruzioni sullo svolgimento delle proprie funzioni, garantendo riservatezza e assenza di conflitti di interesse. Egli può assumere altri incarichi, ma solo se compatibili con il ruolo, evitando sovrapposizioni che possano compromettere l’imparzialità, come nel caso di funzioni dirigenziali o operative direttamente coinvolte nelle decisioni sui trattamenti. Ulteriori criticità possono derivare dalla carenza di tempo dedicato al ruolo o da rapporti gerarchici non equilibrati con il personale che collabora alle attività di supporto.

Il DPO può essere interno all’organizzazione oppure esterno, sulla base di un contratto di servizi, e i suoi dati di contatto devono essere resi pubblici e comunicati all’autorità di controllo. Egli deve essere coinvolto tempestivamente in tutte le questioni attinenti alla protezione dei dati ed è chiamato a informare e assistere il titolare, vigilare sul rispetto della normativa, fornire pareri sulle valutazioni d’impatto, cooperare con l’autorità garante e fungere da punto di riferimento sia per quest’ultima sia per gli interessati.

Particolarmente rilevante è il fatto che il DPO rappresenta un canale diretto per l’esercizio dei diritti degli interessati e che riferisca senza intermediari ai vertici dell’organizzazione. Ne emerge una figura dotata di autonomia, autorevolezza e rilievo strategico, destinata a incidere in modo significativo sull’assetto organizzativo e decisionale del trattamento dei dati personali.

Continuità operativa e resilienza organizzativa (ISO 22301:2019)

Sulla base di quanto definito dallo standard internazionale ISO 22301:2019^[31], la continuità operativa e la resilienza organizzativa rappresentano una capacità strategica dell’organizzazione di prevenire, assorbire e gestire eventi dirompenti, garantendo la continuità nell’erogazione di prodotti e servizi a livelli accettabili anche in condizioni di crisi.

In particolare, la continuità operativa rappresenta la capacità di un’organizzazione di garantire la prosecuzione dei propri prodotti e servizi essenziali a livelli accettabili anche a seguito di eventi dirompenti. Tale concetto assume un ruolo strategico nella gestione complessiva dei rischi, poiché consente di limitare gli impatti negativi derivanti da incidenti, crisi o interruzioni improvvise delle attività operative.

Secondo l’impostazione della norma ISO 22301, la continuità operativa non si esaurisce nella predisposizione di misure di emergenza, ma si fonda su un approccio sistemico e strutturato, formalizzato attraverso un Sistema di Gestione della Continuità Operativa (Business Continuity Management System – BCMS^[32]). Questo sistema permette all’organizzazione di pianificare, implementare, monitorare e migliorare nel tempo la propria capacità di risposta e di ripristino, integrando la continuità operativa all’interno dei processi decisionali e gestionali.

Un elemento centrale del BCMS è l’analisi preventiva degli impatti che un’interruzione potrebbe generare sulle attività critiche dell’organizzazione. Attraverso l’analisi dell’impatto aziendale, l’organizzazione individua le funzioni prioritarie, definisce i tempi massimi di interruzione accettabili e stabilisce i livelli minimi di servizio da garantire anche in condizioni di emergenza. A questa analisi si affianca la valutazione dei rischi, finalizzata a individuare gli eventi potenzialmente dirompenti e a definire le strategie più adeguate a mitigarne gli effetti.

La continuità operativa, inoltre, è strettamente connessa al concetto di resilienza organizzativa^[33], intesa come la capacità dell’organizzazione non solo di resistere a un evento critico, ma anche di adattarsi, reagire efficacemente e ripristinare le proprie attività in tempi coerenti con gli obiettivi strategici. In questa prospettiva, la resilienza non riguarda esclusivamente gli aspetti tecnologici, ma coinvolge l’intera struttura organizzativa, incluse le risorse umane, i processi, le infrastrutture e le relazioni con le parti interessate.

La ISO 22301 promuove inoltre un modello di miglioramento continuo, basato sul ciclo di pianificazione, attuazione, verifica e azione correttiva. Tale approccio consente di testare periodicamente le misure di continuità operativa, valutare l’efficacia delle strategie adottate e aggiornare piani e procedure alla luce dei cambiamenti del contesto interno ed esterno, riducendo l’impatto degli eventi dirompenti e rafforzando la capacità dell’organizzazione di tutelare i propri obiettivi, la reputazione e gli interessi delle parti coinvolte.

L’articolo ha illustrato il ruolo centrale della gestione del rischio nella sicurezza delle informazioni, analizzandone i concetti fondamentali, le metodologie di valutazione e i processi operativi, anche alla luce degli standard ISO/IEC 27005 e delle disposizioni del GDPR. Sono stati approfonditi gli elementi chiave del risk assessment, del trattamento del rischio e degli strumenti di accountability, nonché il collegamento con la continuità operativa e la resilienza organizzativa. Nel prossimo contributo, l’attenzione si sposterà sul tema della gestione del documento digitale e della dematerializzazione, approfondendo strumenti, processi e implicazioni normative.

Per approfondire ulteriormente questi temi, è possibile scaricare il white paper gratuito “La gestione del rischio informatico in ambito sanitario come misura tecnico-organizzativa di conformità normativa”, a cura di Piergiorgio Verrecchia.

Note

[1] In merito visionare: www.headvisor.it.

[2] Si veda A. FLOREANI, Enterprise Risk Management: I rischi aziendali e il processo di risk management, 2004, Milano, IT.

[3] PricewaterhouseCoopers, 1999, Enhancing shareholders wealth by better managing business risk.

[4] G. PIZZUTO, Banche, Sistema Finanziario e politica monetaria, Pearson, 2017, pag. 173.

[5] Probabilità di raggiungimento del livello potenziale di danno nelle condizioni di impiego o di esposizione ad un determinato fattore o agente oppure alla loro combinazione. D.lgs. 81/08, art. 2, lettera s.

[6] La Direttiva (UE) 2022/2555, comunemente denominata Direttiva NIS 2, costituisce uno degli strumenti normativi più rilevanti adottati dall’Unione europea per rafforzare il livello complessivo di sicurezza delle reti e dei sistemi informativi all’interno del mercato interno. Tale intervento normativo si inserisce in un più ampio contesto di politiche europee finalizzate al potenziamento della resilienza digitale delle infrastrutture critiche e delle organizzazioni operanti in settori strategici per il funzionamento della società e dell’economia. La direttiva NIS 2 sostituisce la precedente Direttiva (UE) 2016/1148, nota come NIS 1, introducendo un quadro regolatorio più strutturato e incisivo.

La nuova disciplina mira, infatti, a superare alcune delle principali criticità emerse durante l’attuazione della normativa precedente, tra cui il limitato livello di armonizzazione tra gli Stati membri e l’ambito di applicazione relativamente ristretto. In tale prospettiva, la NIS 2 amplia in modo significativo sia il numero dei settori coinvolti sia la platea dei soggetti destinatari degli obblighi di sicurezza, introducendo una distinzione tra entità essenziali ed entità importanti, entrambe chiamate a rispettare requisiti stringenti in materia di cybersicurezza e gestione dei rischi informatici.

Tra gli aspetti maggiormente innovativi introdotti dalla direttiva assume particolare rilievo l’adozione di un approccio strutturato e sistematico alla gestione del rischio informatico, che diviene un elemento centrale all’interno dei modelli organizzativi delle entità soggette alla normativa. In tale contesto, le organizzazioni interessate sono tenute a adottare un insieme di misure tecniche, organizzative e operative adeguate e proporzionate alla natura dei rischi individuati, con l’obiettivo di prevenire, individuare e mitigare gli incidenti che potrebbero compromettere la sicurezza delle reti e dei sistemi informativi impiegati per l’erogazione dei servizi.

In questa prospettiva, la gestione del rischio non viene più concepita esclusivamente come un’attività di carattere reattivo, finalizzata alla gestione di incidenti già verificatisi, bensì come un processo continuo e integrato, orientato all’identificazione preventiva delle vulnerabilità e delle minacce che possono incidere sulla sicurezza dei sistemi informativi. Tale approccio richiede l’adozione di metodologie strutturate di analisi e valutazione del rischio, nonché la predisposizione di procedure tecniche e organizzative finalizzate a ridurre la probabilità di accadimento degli incidenti e a limitarne le possibili conseguenze.

La Direttiva NIS 2 individua, inoltre, diverse aree di intervento nell’ambito delle politiche di gestione della sicurezza informatica.

Tra le principali misure previste dalla normativa rientrano: l’adozione di politiche e procedure interne per l’analisi e la gestione dei rischi di cybersicurezza; la definizione di sistemi strutturati per la gestione degli incidenti di sicurezza e delle vulnerabilità dei sistemi informativi; l’introduzione di politiche di sicurezza relative alla catena di approvvigionamento, con particolare attenzione ai fornitori di servizi digitali e alle infrastrutture ICT; la predisposizione di piani di continuità operativa e di gestione delle crisi, comprensivi di procedure di disaster recovery e ripristino dei sistemi; l’integrazione dei principi di security by design e security by default nelle fasi di progettazione e sviluppo dei sistemi informatici; l’utilizzo di strumenti avanzati di crittografia, autenticazione forte e protezione delle identità digitali.

Un ulteriore elemento di particolare importanza introdotto dalla direttiva riguarda gli obblighi di notifica degli incidenti di sicurezza. Le organizzazioni soggette alla normativa sono infatti tenute a segnalare tempestivamente alle autorità nazionali competenti eventuali incidenti rilevanti che possano avere un impatto significativo sulla continuità dei servizi o sulla sicurezza delle infrastrutture digitali.

Questo sistema di segnalazione contribuisce a rafforzare la cooperazione tra autorità pubbliche e operatori privati, favorendo lo scambio di informazioni relative alle minacce informatiche e consentendo una risposta più coordinata ed efficace agli attacchi cibernetici a livello europeo. Nel contesto del settore sanitario, l’applicazione dei principi introdotti dalla Direttiva NIS 2 assume una rilevanza particolarmente significativa. Le organizzazioni sanitarie gestiscono infatti quotidianamente grandi quantità di dati sensibili relativi alla salute dei pazienti e fanno sempre più affidamento su infrastrutture digitali complesse per l’erogazione dei servizi clinici, amministrativi e diagnostici.

La progressiva digitalizzazione dei processi sanitari, unitamente alla crescente interconnessione dei sistemi informativi, espone tali organizzazioni a rischi informatici sempre più articolati e sofisticati. Le infrastrutture sanitarie rappresentano pertanto obiettivi particolarmente vulnerabili per attacchi informatici, come dimostrato dal crescente numero di episodi di ransomware e di violazioni dei dati che negli ultimi anni hanno interessato ospedali e strutture sanitarie. Tali attacchi possono produrre conseguenze particolarmente gravi, non solo in termini di compromissione della riservatezza dei dati personali, ma anche con riferimento alla continuità dei servizi sanitari e alla sicurezza dei pazienti.

[7] Per esempio, dallo standard internazionale ISO/IEC 27005:2022.

[8] Si tratta di un approccio integrato che comprende politiche, procedure, controlli e strumenti metodologici attraverso i quali l’organizzazione stabilisce, comunica, governa e rivede nel tempo la propria propensione al rischio. Concetto introdotto dalla Circolare n. 263 del 27 dicembre 2006 – 15° aggiornamento del 2 luglio 2013.

[9] Si veda la ISO/IEC 27005.

[10] Il quadro normativo del Regolamento (UE) 2016/679 evidenzia come la tutela dei diritti e delle libertà delle persone fisiche costituisca un elemento centrale nella gestione dei trattamenti di dati personali, come emerge in particolare dai Considerando 75 e 76. In tale prospettiva, l’articolo 24 attribuisce al titolare del trattamento la responsabilità di adottare un approccio basato sul rischio, volto all’individuazione, alla valutazione e alla gestione dei rischi mediante l’implementazione di misure adeguate. Questo principio trova ulteriore rafforzamento nell’articolo 25, che impone la protezione dei dati fin dalla progettazione e per impostazione predefinita, richiedendo al titolare di considerare trattamenti caratterizzati da livelli di rischio differenti in termini di probabilità e gravità.

Coerentemente, l’articolo 32 stabilisce l’obbligo, in capo sia al titolare sia al responsabile del trattamento, di garantire un livello di sicurezza proporzionato al rischio individuato. Infine, qualora all’esito della valutazione del rischio il trattamento continui a presentare un rischio elevato, l’articolo 35 prevede l’obbligo di procedere a una valutazione d’impatto sulla protezione dei dati, da realizzarsi attraverso una procedura formalizzata.

[11] Il Considerando 76 del GDPR evidenzia che il rischio va inteso previo esame oggettivo diretto a verificare se i trattamenti di dati espongano a un rischio, anche di particolare rilevanza.

[12] Visionare: www.business.aruba.it.

[13] ISO/IEC 27005:2022: “Information security, cybersecurity and privacy protection — Guidance on managing information security risks”. Rappresenta uno standard inserito nel quadro normativo della serie ISO/IEC 27000. La norma offre linee guida strutturate per la gestione dei rischi nella sicurezza delle informazioni, configurandosi come un riferimento pratico e sistematico per l’adozione di un modello di gestione del rischio pienamente allineato alla ISO/IEC 27001.

[14] Rappresenta il risultato di un lungo percorso di aggiornamento normativo, reso necessario dall’evoluzione tecnologica e dalla crescente complessità dei sistemi informativi. Lo standard nasce con l’obiettivo di supportare organizzazioni di qualsiasi dimensione e settore nell’adozione di un approccio strutturato ed efficiente alla tutela delle informazioni, attraverso l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI, o ISMS).

[15] Il contesto interno rappresenta l’insieme degli elementi organizzativi che caratterizzano l’ambiente interno in cui l’organizzazione persegue i propri obiettivi. Esso include la visione, la missione e i valori aziendali, i modelli di governance, la struttura organizzativa, la definizione dei ruoli e delle responsabilità, nonché le strategie, le politiche e gli obiettivi operativi. Fanno parte del contesto interno anche la cultura organizzativa, le risorse disponibili, le competenze e le conoscenze, i sistemi informativi, i flussi di dati, le relazioni con le parti interessate interne e le interdipendenze tra processi e funzioni aziendali

[16] Fanno parte del contesto esterno le principali tendenze che incidono sugli obiettivi strategici, le aspettative e le esigenze delle parti interessate esterne, nonché i rapporti contrattuali, gli impegni assunti e la complessità delle reti di dipendenza e interconnessione con soggetti terzi.

[17] In merito si veda ISO/IEC 27005, pag. 2.

[18] ISO/IEC 27005: ‹‹sequence or combination of events leading from the initial cause to the unwanted consequence››, pag. 2.

[19] ISO/IEC 27005, 3.1.9 threat: ‹‹potential cause of an information security incident that can result in damage to a system or harm to an organization››, pag 3.

[20] ISO/IEC 27005, 3.1.10 vulnerability: ‹‹weakness of an asset or control that can be exploited so that an event with a negative consequence occurs››, pag. 3.

[21] ISO/IEC 27005, 8.2: ‹‹risk modification, by changing the likelihood of the occurrence of an event or a consequence or changing the severity of the consequence››, pag 24.

[22] ISO/IEC 27005, 8.2: ‹‹risk retention, by informed choice››, pag 24.

[23] ISO/IEC 27005, 8.2.: ‹‹risk avoidance, by deciding not to start or continue with the activity that gives rise to the risk››, pag 24.

[24] ISO/IEC 27005, 8.2: ‹‹risk sharing, by splitting responsibilities with other parties, either internally or externally (e.g. sharing the consequences via insurance)››, pag 24.

[25] Art. 24 GDPR, par.1: ‹‹Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.

Dette misure sono riesaminate e aggiornate qualora necessario››; par. 2: ‹‹Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento”; par.3: ‹‹L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento››.

[26] Art. 35 GDPR, par. 1: ‹‹Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi››.

[27] Tradotto impropriamente indica “responsabilità”. Il principio di accountability, inteso non come mera responsabilità formale ma come indice di affidabilità, competenza e correttezza nella gestione dei dati personali, emerge già a partire dalla Conferenza internazionale di Gerusalemme del 2010, affermandosi progressivamente come paradigma generale del trattamento dei dati. Esso nasce dall’esigenza di favorire la circolazione transnazionale delle informazioni in un contesto caratterizzato da ordinamenti eterogenei e da interessi economici e sociali molteplici, ponendosi come strumento di equilibrio tra sviluppo e tutela dei diritti fondamentali.

L’accountability assume una dimensione giuridica, organizzativa ed etica, imponendo al titolare del trattamento un approccio attivo e consapevole, fondato su trasparenza, capacità dimostrativa e controllo effettivo delle operazioni svolte. Tale principio ha trovato pieno riconoscimento nel Regolamento (UE) 2016/679, che all’art. 24 impone l’adozione e l’aggiornamento di misure tecniche e organizzative adeguate, proporzionate ai rischi e alle finalità del trattamento, nonché idonee a dimostrarne la conformità. In questa prospettiva, l’accountability si configura come approccio operativo alla protezione dei dati, orientato alla prevenzione del rischio, alla valutazione continua dell’impatto delle attività svolte e alla capacità di rendere conto alle Autorità di controllo.

Il concetto trova applicazione anche in ambiti quali la sicurezza informatica e l’amministrazione pubblica, ove è strettamente connesso ai principi di trasparenza, responsività e rispetto delle regole, contribuendo al miglioramento dell’efficacia e dell’efficienza organizzativa. Per completezza visionare www.altalex.com.

[28] Un esempio particolarmente significativo è rappresentato dal caso dell’Azienda ospedaliera di Perugia, che è stata sanzionata dal Garante per la protezione dei dati personali per aver svolto attività di trattamento dei dati nell’ambito delle procedure di whistleblowing senza aver previamente effettuato una valutazione d’impatto sulla protezione dei dati, nonostante la natura altamente sensibile delle informazioni coinvolte e i rischi specifici per i diritti e le libertà degli interessati.

[29] Il concetto di rischio, in questo contesto, può essere inteso come uno scenario che descrive un evento e le sue possibili conseguenze, valutato in termini di probabilità e gravità. Ogni trattamento comporta un rischio intrinseco, che dipende sia dalla tipologia dei dati trattati sia dalle modalità e dagli strumenti utilizzati. All’aumentare del livello di rischio, il titolare è tenuto a adottare misure di sicurezza sempre più robuste, sia sotto il profilo tecnico sia sotto quello organizzativo.

[30] Secondo il WP29, la nozione di attività principali non deve essere intesa in senso limitativo, poiché ricomprende anche quelle ipotesi in cui il trattamento dei dati personali costituisce un presupposto imprescindibile per lo svolgimento delle attività del titolare del trattamento. Come precisato nelle Linee guida sui responsabili della protezione dei dati (RPD), il trattamento rientra tra le attività principali ogniqualvolta esso sia funzionalmente necessario al conseguimento delle finalità istituzionali dell’organizzazione.

In tale prospettiva, viene evidenziato che, nel settore sanitario, l’erogazione delle prestazioni non può prescindere da un trattamento esteso e sistematico dei dati personali dei pazienti, inclusi quelli appartenenti a categorie particolari. Ne consegue che, in simili contesti, sussistono i presupposti per l’obbligatorietà della nomina del Responsabile della Protezione dei Dati.

[31] “Security and resilience – Business continuity management systems – Requirements”. Versione vigente del 2019.

[32] Si veda ISO 23001:2019, Introduction.

[33] Da un lato la continuità è rivolta alla predisposizione di soluzioni che consentano all’organizzazione di riprendere le proprie attività dopo che un evento avverso ne ha compromesso il funzionamento, dall’altro la resilienza mira a costruire assetti organizzativi e tecnici capaci di prevenire tali interruzioni prima che esse si manifestino. Si veda “Dalla business continuity alla resilienza operativa” in www.mimit.gov.it.