Sulla relazione fra GDPR e cyber security molto è stato scritto per spiegare, divulgare e far comprendere a tutti l’epocale cambiamento di approccio nella data protection. Eppure, dopo due anni dall’entrata in vigore del GDPR, si assiste alla puntuale esfiltrazione di dati personali e gli attacchi informatici continuano a “dissanguare” le organizzazioni della loro stessa linfa vitale: le informazioni digitalizzate.
Quindi perché si parla ancora di GDPR e cyber security? Perché oggi la digital transformation ha reso ancora più numerose le informazioni digitalizzate, ovvero i dati di proprietà intellettuale, di business, i dati strategici come gli elenchi clienti e fornitori e naturalmente i dati personali.
Con l’aumento di trattamento di queste informazioni digitali, fra cui quelle di tipo personale, sensibile e particolare, che sono proprio l’oggetto principale della tutela della privacy normata dal GDPR, la disciplina della cyber security in tutti i suoi pillar costituenti può fare la differenza.
Non solo misure tecniche di sicurezza attuate in modo specifico al perimetro dei dati personali, in ottemperanza al regolamento, ma misure di sicurezza organizzative, procedurali e anche tecniche, tutte insieme, capaci di ridurre il rischio di compromissione di tutte le informazioni “critiche” aziendali, all’interno di un sistema di governance della sicurezza aziendale centrata sui dati (Data centric) come fulcro della strategia e della tattica difensiva.
Indice degli argomenti
GDPR for dummies
Il GDPR (General Data Protection Regulation) non è un insieme completamente nuovo di norme sulla protezione dei dati dell’UE. Si tratta di un’evoluzione del set di regole esistente, basato sui solidi principi di protezione dei dati stabiliti nella direttiva sulla protezione dei dati.
Queste regole esistono dal 1995, ma era tempo d’assicurarsi che fossero adatte all’era digitale. Sebbene sia stato redatto e approvato dall’Unione europea (UE), il GDPR, che regolamenta l’obbligo al rispetto della privacy e alla sicurezza dei dati personali, impone obblighi alle organizzazioni ovunque nel mondo, se e solo se raccolgono ed elaborano i dati relativi alle persone nell’UE.
Il GDPR è entrato in vigore nel 2016 dopo l’approvazione del Parlamento europeo e, a partire dal 25 maggio 2018, tutte le organizzazioni devono essere conformi. Ai fini degli obblighi normativi l’impianto del GDPR prevede per chi viola gli standard di privacy e sicurezza pesanti sanzioni che raggiungono le decine di milioni di euro e che dipendono dai fatturati delle organizzazioni inadempienti.
Esistono infatti, due livelli di sanzioni, che raggiungono un massimo di 20 milioni di euro o il 4% delle entrate globali (a seconda di quale sia maggiore). Inoltre, gli interessati hanno il diritto di chiedere il risarcimento dei danni.
La rivoluzione nell’impostazione del Regolamento risiede nel cambio di paradigma: piuttosto che indicare ex-ante una serie di regole immutabili da rispettare, la normativa fissa principi di impostazione alla sicurezza informatica, basati sulla valutazione del rischio, rimandando i controlli di conformità dell’autorità competente a un approccio ex-post, a valle dell’avvenuto incidente di sicurezza o data Breach o secondo controlli a campione.
Quindi non più regole rigide imposte preventivamente, ma misure adeguate ovvero adattabili, personalizzate e implementate sulla base di una valutazione di rischio, delle esigenze di budget, che impongono l’accountability dei titolari e responsabili del trattamento.
GDPR e cyber security: due facce della stessa medaglia
Con il GDPR, l’Europa ha marcato la sua ferma posizione sulla privacy e la sicurezza dei dati in un momento in cui sempre più persone affidano i propri dati personali a servizi cloud e le violazioni sono all’ordine del giorno. Questo perché i dati rappresentano il nuovo tesoro digitale, sono soggetti a furti e rivendita nel dark web e costruiscono una moneta di valore per i criminali.
La relazione fra GDPR e cyber security risiede nella modalità di tutela della privacy mediante l’implementazione di misure di Data Protection e quindi di attuazione di misure di sicurezza sui dati e attorno ai dati, nel sistema informativo che li elabora, per proteggerli da attacchi che possono alternarne la RID, riservatezza, integrità e disponibilità.
Questo tipo di sicurezza deve essere prevista fin dalla progettazione del trattamento dei dati (data protection by design). Tuttavia, gli scopi di sicurezza dei dati e sui dati non possono eccedere i diritti di privacy e quindi non possono eccedere la tenuta sotto controllo delle informazioni private altrui (data protection by default).
Ecco, quindi, che le esigenze di privacy e sicurezza devono bilanciarsi continuamente come facce della stessa medaglia che è rappresentata dal “dato”.
GDPR e cyber security: le misure di data protection
Il regolamento GDPR disciplina con precisione la data protection dedicando alcuni articoli in modo specifico. Una prima introduzione ai principi regolatori dell’elaborazione dei dati personali risiedono negli articoli da 5 a 11 che indicano sette principi di protezione e responsabilità:
- liceità, correttezza trasparenza;
- limitazione dello scopo;
- riduzione al minimo dei dati;
- precisione;
- limitazione dell’archiviazione;
- integrità e riservatezza;
- responsabilità.
Tuttavia, è nell’articolo 32 che si parla in modo dedicato alla sicurezza del trattamento elaborativo richiedendo di prevedere le misure:
- pseudonimizzazione e cifratura dei dati personali;
- capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
- capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
- procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Il richiamo alla resilienza si riferisce, in termini molto generali, alla capacità intrinseca di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura, al fine di assicurare sempre la disponibilità dei servizi che vengono forniti e la adeguata protezione dei dati che vengono trattati con tali sistemi.
Il concetto di disaster recovery, uno dei pilastri della sicurezza informatica, si rende necessario a garantire la continuità operativa dell’organizzazione perché di fatto riguarda la capacità di reagire in modo efficace e tempestivo ad eventuali criticità dovute ad incidenti fisici o tecnici, allo scopo di ripristinare la disponibilità e l’accesso dei dati personali oggetto di trattamento.
Un doveroso chiarimento risiede nei modi di applicazione di queste misure. Infatti, la norma (art. 32 punto 2) richiede di applicare controlli e misure tecniche e organizzative di sicurezza in “modo adeguato” alla valutazione di rischio e al tipo di dati da proteggere, consentendo al titolare del trattamento di costruire un sistema di protezione adatto alla esigenza della sua organizzazione e non stabilito a priori.
Dall’articolo 32 infatti si legge: “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”.
Infine, il GDPR (art. 32 punto 3) prevede la possibilità dell’utilizzo di specifici codici di condotta o meccanismi di certificazione che consentano all’organizzazione di documentare l’idoneità delle misure di sicurezza adottate.
Risorse e documenti di approfondimento
L’UE ha creato un sito web apposito come risorsa per i proprietari e i manager delle aziende PMI e Corporate, come supporto ai necessari passi e agli adempimenti che devono affrontare su questa materia. Il sito copre completamente ogni aspetto specifico di compliance al Regolamento e ogni aspetto secondario che può interessare i Titolari e I Responsabili del trattamento di dati personali, e per ogni azienda che si trovi a dover impostare l’organizzazione di compliance e l’efficace protezione dei dati.
Una sintetica ed efficace guida al Regolamento per le imprese è stata resa disponibile dalla UE e costituisce un riepilogo degli obblighi e delle opportunità.
Invece sul tema della cyber security, la Federal Trade Commission ha emesso un documento dedicato alla cyber security per le PMI per guidarle in modo semplice ai concetti principali relativi alla sicurezza informatica, ai rischi e agli approcci strutturati verso la protezione.
Anche il Garante Italiano per la Protezione dei dati Personali ha una intera sezione dedicata al Regolamento nel suo sito.
Contributo editoriale sviluppato in collaborazione con Cerbeyra