TECNOLOGIA E SICUREZZA

Cyber security e GDPR: regole di accountability per una efficace data protection

In osservanza al principio di accountability, il titolare del trattamento deve essere in grado di testimoniare, documentare e governare tutto il processo della data protection in azienda. Ecco le regole operative e le soluzioni tecnologiche di cyber security per raggiungere la necessaria compliance GDPR

06 Lug 2020
Paolo Tarsitano

Editor Cybersecurity360.it


La piena applicabilità del GDPR ha senz’altro contribuito ad aumentare la sensibilità delle organizzazioni rispetto ai temi della cyber security: solo una piena conoscenza dei pericoli legati alle violazioni informatiche, infatti, può consentire di adottare una corretta ed efficace data protection.

In particolare, le aziende sono ora chiamate a rivedere le procedure interne di assessment con l’obiettivo di gestire al meglio le attività di compliance e remediation in ottica GDPR. È utile ricordare, infatti, che la protezione dei dati personali non è un processo statico, ma altamente dinamico in cui strategie, tecnologie e processi devono essere sottoposti a revisioni periodiche e consistenti.

Solo con un monitoraggio continuo, ovviamente accompagnato dalle opportune attività di remediation, le organizzazioni sono dunque in grado di ridurre il numero di eventuali entry point al perimetro di sicurezza che i criminal hacker potrebbero sfruttare per accedere al prezioso patrimonio informativo aziendale. Ne parliamo con Gianpaolo Marassi, Consulente aziendale, privacy, fiscale e societario, con il quale abbiamo provato a definire le buone regole di accountability da mettere in pratica per ottenere una efficace data protection.

Cyber security e GDPR: il principio di accountability

Ecco dunque che, in tema di protezione dei dati personali e conformità al GDPR, una competenza chiave, oltre a quelle legali e gestionali, è quella relativa alla sicurezza informatica.

Ciò risulta ancora più evidente da una lettura attenta dell’articolo 25 del GDPR in cui è specificato che: “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati… per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità”.

In poche parole, dunque, tutti gli aspetti riguardanti la gestione dell’infrastruttura informatica e della rete aziendale interna da parte del titolare del trattamento la fanno da padrone.

Alla luce di questo, sottolinea Gianpaolo Marassi, “si capisce perché uno dei pilastri fondamentali su cui si fonda l’impianto normativo del Regolamento Europeo 2016/679 sia il principio di accountability”.

In sostanza si tratta della definizione del principio di responsabilizzazione del titolare depositario della fiducia, in merito all’adozione, alla gestione ed alla prova dell’avvenuta adozione di strumenti tecnici e giuridici, nonché procedure organizzative, di tutela e di controllo dei dati personali in maniera conforme alle disposizioni del Regolamento (artt. 24 e 25 GDPR).

Il Regolamento, in quanto tale, stabilisce che l’accountable, ovvero il titolare, che può essere l’azienda, l’ente o l’associazione, oppure il responsabile del trattamento, debba attivare misure idonee atte a commisurare la struttura tecnico-organizzativa alla tipologia di trattamento, alla natura del dato e al livello di rischio (in particolare verificando che quello residuale sia basso).

L’accountable ha dunque l’obbligo di essere responsabile nella gestione dei dati personali”, continua Gianpaolo Marassi, ed è consapevole che di quelle informazioni raccolte, è responsabile non solo per il Regolamento Europeo, ma anche per etica e buon senso; i dati personali che custodisce non gli appartengono, ma gli sono stati affidati unitamente al dovere di proteggerli.

Per tale ragione, oltre a diventare responsabile di tutto ciò sopracitato, l’accountable è anche legato al dover agire: nello specifico, dovrà essere in grado di rendere conto delle azioni fatte o delegate, con valutazioni svolte alla base delle scelte operate. Ma soprattutto deve essere in grado di dimostrare in quale maniera, passibile di verifica, venga esercitata la responsabilità.

Ecco, dunque, che entra in campo un’altra delle competenze chiave per il raggiungimento della compliance al GDPR: quella gestionale.

Essere accountable vuol dire testimoniare, dare delle prove concrete ed essere in grado di documentare la consapevolezza, la competenza e la responsabilità, riportando nel registro dei trattamenti tutto ciò che si svolge e in maniera dettagliata, comprese le contromisure adottate e le motivazioni alla base di tali adozioni.

Si deve inoltre dimostrare di riuscire a governare l’intero processo, gestendolo nella sua interezza, avendo il pieno controllo su di esso. La stretta aderenza al principio di accountability si rivela dunque fondamentale nella gestione di un eventuale data breach.

Qualora fosse necessario procedere con la notifica al Garante ed eventualmente anche agli interessati, l’accountable sarebbe in grado di testimoniare che i dati sono stati trattati nel rispetto del principio di privacy by design e con rischio residuale basso, che è stata svolta la DPIA e che sono state messe in atto tutte le contromisure necessarie, avendo quindi fatto tutto il possibile per minimizzare i rischi.

Cyber security e GDPR: i rischi a cui sono esposti i dati aziendali

A tal proposito, ricordiamo che il GDPR afferma che è necessario eseguire i trattamenti solo nel caso in cui il rischio residuale per i diritti e le libertà degli interessati sia basso.

Essere in grado di prevedere eventi negativi con l’analisi dei rischi e anticipare le soluzioni per mantenere un margine di sicurezza elevato sembrerebbe delineare il profilo perfetto dell’accountable, è il parere di Gianpaolo Marassi, ma in tal senso si attendono i primi pronunciamenti dell’Autorità di controllo europea e degli stati membri.

È già possibile, comunque, individuare i sei rischi principali per i dati personali che devono essere valutati considerando la specificità del caso, il comportamento dell’azienda e le mosse che l’organizzazione stessa attua:

  • il primo rischio è senz’altro la disponibilità del dato, nonché la distruzione o la cancellazione di un file in maniera deliberata o meno. Un esempio concreto può essere la cancellazione dell’unico file che riporta l’anagrafica delle risorse aziendali o dei fornitori e non è possibile recuperarli in alcun modo;
  • il secondo rischio è legato all’indisponibilità del dato e questo può accadere quando l’azienda subisce un Cryptolocker che blocca tutti i documenti in possesso all’organizzazione e ne vieta l’accesso;
  • il terzo rischio è la vera e propria perdita del dato, che può avvenire nel momento in cui si verifica il furto di un portatile appartenete a un dipendente aziendale o la rottura del disco del computer stesso, contenete al proprio interno documentazione sensibile e che conseguentemente viene fatta sparire;
  • il quarto rischio è relativo all’integrità, ovvero l’alterazione volontaria o involontaria dei dati; un esempio esplicativo può essere la modifica per errore dei dati personali di una persona che sono stati archiviati nell’anagrafica dei dipendenti;
  • il penultimo rischio riguarda la riservatezza del dato; se questo viene divulgato, come può accadere per esempio con la pubblicazione sul canale social aziendale della foto di un dipendente senza il suo permesso;
  • il sesto e ultimo rischio concerne l’accesso al dato; caso esplicativo è la compromissione totale del gestionale di una banca, i cui dati di alcuni correntisti sono visibili ai criminal hacker.

White Paper - Quanto ti costa un attacco informatico? Gioca d’anticipo grazie all’Intelligenza Artificiale

La filiera della gestione del rischio

È evidente, alla luce dell’applicabilità del principio di accountability, che la gestione del rischio e tutte le responsabilità che ne derivano, risultano essere in capo al titolare del trattamento.

È altrettanto vero, sottolinea di nuovo Gianpaolo Marassi, che una delle novità più impattanti introdotte dal GDPR, oltre al principio di privacy by design, è la nomina del responsabile del trattamento. In particolare, il Regolamento indica che si devono nominare “responsabili” tutte le figure esterne che trattano i dati per conto del titolare del trattamento: tali figure andranno nominate per iscritto, mediante atti precisi.

Il titolare del trattamento ha l’obbligo di verificare che ogni responsabile esterno sia a sua volta compliant GDPR, ovvero che si comporti in maniera adeguata, adottando tutte le contromisure per raggiungere un rischio residuale basso (in definitiva, il responsabile esterno deve dimostrare di essere lo stesso GDPR compliant ottemperando alle indicazioni stabilite dal Regolamento Europeo).

Sin dall’inizio, il titolare del trattamento deve avere costantemente sotto controllo la catena dei responsabili, fino a conoscere la filiera dei vari passaggi che possano derivare da un semplice affido ad un responsabile esterno.

“Per essere accountable deve infine essere certificata tutta la catena dei comportamenti e della compliance al GDPR”, continua Marassi.

Regole di accountability per un’efficace data protection

Solo così, e sempre approcciandosi al Regolamento con la regola del buon senso, il titolare del trattamento può evitare sanzioni garantendo che i dati personali archiviati nei flussi aziendali siano adeguatamente protetti.

Essere proattivi è comunque considerato l’atteggiamento migliore da adottare, al fine di non rispondere in futuro di un danno derivante da trattamento dei dati personali attraverso la dimostrazione (inversione dell’onere della prova) di aver fatto tutto il possibile per evitarlo.

In questo senso, è possibile seguire alcune semplici regole di accountability che consentono al titolare del trattamento di mettere in pratica una efficace data protection:

  1. Consapevolezza del cambio di approccio: il nuovo modello previsto dal Regolamento richiede la responsabilizzazione del titolare; quindi, la sua accountability non può mai essere demandata a qualcun altro. Avere consapevolezza che i dati vanno trattati in un’ottica di minimizzazione: non si deve e non si può eccedere la raccolta dei dati rispetto alle finalità che ci si pone.
  2. Mappatura dei trattamenti, ovvero effettuare una valutazione di assessment sulla superficie da proteggere costituita da tipi di dati trattati, individuando per ciascuno tutte le elaborazioni (trattamenti) effettuate o da effettuare, le finalità, le basi giuridiche, la durata del trattamento, la provenienza e destinazione dei dati, le modalità di raccolta e di conservazione (retention), i soggetti coinvolti (responsabili del trattamento).
  3. Inventario degli asset. È necessario istituire e aggiornare un inventario degli asset per valutarne le vulnerabilità che può influenzare l’analisi di rischio. Per ogni asset devono essere definite le misure di sicurezza applicabili sui dati secondo la capacità di garantire la riservatezza, integrità e disponibilità (RID) dei dati.
  4. Individuare i responsabili esterni e gli addetti interni ovvero coloro che trattano i dati e che utilizzano gli asset; in quest’ambito è opportuno che il titolare li informi e li formi con uno specifico programma.
  5. Analisi dei rischi e misure di sicurezza. Si effettua la stima del rischio per ogni tipo di trattamento e, di conseguenza, di dato gestito, valutando le minacce incombenti e l’impatto come danno reputazionale, quindi economico.
  6. Mitigazione dei rischi: significa valutare l’adozione delle misure di sicurezza adeguate a diminuire il rischio di problemi sui dati.
  7. Policy e procedure aziendali sulla security: è necessario stabilire almeno quelle relative ai data breach e alla gestione di incidenti informatici, alla Business Continuity e Disaster Recovery.
  8. Redazione delle informative sul trattamento dei dati personali rivolte agli interessati e la conseguente gestione del consenso da parte degli interessati stessi.
  9. Redazione degli atti di nomina degli addetti designati e di nomina dei responsabili esterni del trattamento con l’istituzione di ruoli e responsabilità in materia di trattamento dei dati e previsione di Formazione ai dipendenti su queste tematiche.
  10. Redazione di un modello utile alla ideazione e realizzazione di prodotti e servizi in conformità ai principi di privacy by design e by default al fine di fornire il più possibile informazioni per testimoniare l’impegno della struttura nell’approcciare correttamente i trattamenti dati come da art. 25 del GDPR. Il modello, in particolare, deve contenere le analisi dei rischi residuali sui trattamenti e sugli archivi; l’elenco di tutte le misure di sicurezza implementate (art. 32 GDPR, “Sicurezza del trattamento”); l’elenco delle misure consigliate seguendo la falsariga dell’Allegato B al vecchio Codice Privacy e quelle eventualmente implementate; i piani di ripristino dei dati; i piani di formazione degli addetti.
  11. Compilazione dei registri dei trattamenti (articolo 30 GDPR).
  12. Redazione DPIA (Data Protection Impact Analysis) che contiene una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento, una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
  13. Eventuale identificazione e nomina del DPO. Il GDPR prevede la possibilità di dotarsi di un DPO e in alcuni casi lo obbliga. È necessario quindi verificare l’art. 37 del GDPR e poi scegliere.
  14. Rivalutazione periodica di tutte le misure istituite in ottica di aggiornamento e miglioramento.

Contributo editoriale sviluppato in collaborazione con Cyberoo

@RIPRODUZIONE RISERVATA

Articolo 1 di 5