L’approccio basato sul principio di accountability introdotto dal GDPR, così come quello risk based thinking che caratterizza le normative ISO 31000 e 27001, insieme alle linee guida per la gestione dei dati personali in ambito ICT della UNI/Pdr 43:2018, possono guidare il titolare del trattamento dei dati verso un approccio “compliance” sui propri sistemi di gestione aziendale.
Indice degli argomenti
GDPR e sistemi di gestione: il contesto normativo
Il Regolamento 2016/679 UE (GDPR), a poco più di un anno dall’introduzione effettiva, inizia a dare evidenza della sua portata rivoluzionaria.
Com’è noto, lo stesso introduce un nuovo tipo di approccio rispetto alla protezione dei dati e cambia radicalmente filosofia alla nostra normativa nazionale. La Direttiva 95/46/CE e il D.lgs. 196/2003 (cosiddetto Codice Privacy), prevedevano un approccio sostanzialmente prescrittivo. Il Codice imponeva degli obblighi molto specifici per i titolari del trattamento, quali il rispetto di “misure minime di sicurezza”, precisamente indicate in un elenco tassativo (Allegato B), tale da rappresentare un vero e proprio mansionario a cui tutti dovevano attenersi.
Il GDPR, diversamente, non da disposizioni così puntuali, piuttosto predilige un’impostazione che segna il passaggio dalla concezione formale di mero adempimento, a quello sostanziale di protezione.
L’art. 24 del Regolamento “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario” introduce gli estremi dell’accountability, termine tradotto comunemente con “responsabilizzazione”.
Questo implica, per il titolare del trattamento, non più un approccio limitato all’applicazione delle norme ma il dovere di “tradurre in pratica la protezione dei dati, attraverso una serie di compiti a casa, che consentano di dimostrare la distribuzione delle responsabilità al proprio interno e una strategia articolata e trasparente nei confronti degli interessati” (Giovanni Buttarelli, Garante Europeo, ndr)
Coerentemente con tale approccio, lo stesso Regolamento prevede che la conformità ad un meccanismo di certificazione può essere utilizzato per dimostrare l’adeguatezza dei trattamenti ai disposti della normativa.
All’articolo 42 del GDPR, infatti, è disposto che “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese”.
Su questa scorta si è infatti concretizzata la convenzione fra il Garante Privacy ed ACCREDIA dello scorso 20 marzo 2019, finalizzata a favorire le attività di certificazione, alla luce delle nuove linee guida sulla protezione dei dati personali.
Come si è anticipato prima, la nuova filosofia della protezione dei dati è basata sulla consapevolezza e sulle valutazioni che il titolare deve porre in essere, prima di effettuare un trattamento dei dati.
Infatti, all’art. 32 par. 2 del Regolamento è stabilito che “Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.
Risulta subito evidente che l’approccio del GDPR ricalchi esattamente quello del risk management, in cui il titolare del trattamento è chiamato ad assumere piena consapevolezza dei trattamenti che effettua, alla luce di una ponderata valutazione delle fonti di rischio e delle possibili implicazioni di una violazione di dati.
GDPR e sistemi di gestione: individuare cosa va protetto
L’approccio richiesto dalla normativa europea presenta delle indiscutibili assonanze con quello del risk-based thinking (ISO 31000), basato sul cosiddetto sistema PDCA (o ciclo di Deming): Plan, Do, Check, Act. Ossia, pianificare le azioni, attuare il piano, controllare l’efficacia delle azioni intraprese e imparare dall’esperienza.
Ulteriormente, sembra utile riferirsi anche alle disposizioni della ISO 27001, poiché la stessa definisce i requisiti per impostare e gestire un Information Security Management System, comprensivo quindi di sicurezza logica, fisica ed organizzativa.
Vediamo, senza pretese di completezza, alcuni passaggi che possono aiutare aziende e professionisti a standardizzare il livello di trattamento e protezione dei dati.
Il primo passo è individuare cosa va protetto, quindi una perimetrazione dell’area di intervento, al fine di definire dove arriva il nostro dominio come titolari del trattamento. Andranno censiti tutti i trattamenti ed i processi aziendali che ineriscono ai dati personali, compresi i sistemi, applicazioni e database coinvolti (il cosiddetto Preliminary Assessment).
Questa fase dev’essere svolta con un’attenzione specifica poiché lasciare fuori da tale perimetro dati o processi, può esporre il titolare del trattamento ad importanti responsabilità dovuti a rischi non adeguatamente valutati.
Successivamente all’individuazione del nostro perimetro occorre, attraverso lo strumento del Privacy Impact Assessment (PIA), effettuare una valutazione di impatto che permetta di individuare, data la natura dei dati e gli strumenti adoperati, le criticità di un trattamento e/o del processo nonché i risvolti dannosi per “i diritti e le libertà della persona” in caso di una violazione di dati.
Nel concreto, occorre valutare le vulnerabilità, ponendo l’attenzione sui fattori di rischio, quali ad esempio:
- personale non istruito;
- obsolescenza dei sistemi;
- mancanza di procedure;
- mancanza di sistemi di autenticazione.
Si dovranno analizzare con particolare attenzione le singole fasi del trattamento/processo, cercando di prevedere le implicazioni di un incidente di sicurezza sui diritti e le libertà degli interessati quali, ad esempio, il furto di identità, danni alla reputazione, frodi finanziarie e via dicendo.
Solo all’esito di tale analisi, sarà possibile individuare gli interventi tecnici ed organizzativi per eliminare o mitigare i fattori di rischio da apportare alla struttura, nonché la loro priorità d’esecuzione rispetto alle tempistiche.
Grazie a questo approccio, e agli interventi che il titolare del trattamento apporterà alla propria struttura, sia di tipo protettivo (sistemi di autenticazione, controllo degli accessi, firewall e antivirus) o preventivo (ad esempio: formazione del personale, assicurazione), sarà possibile giungere al livello di rischio “accettabile” richiesto all’art. 24 GDPR.
Da ultimo, è fondamentale sapere che queste attività non devono essere svolte una tantum, bensì devono essere ripetute regolarmente, attraverso attività di auditing e di test per monitorare l’efficacia degli interventi applicati e l’effettivo stato di implementazione di quest’ultimi.
Il titolare del trattamento è chiamato ad un monitoraggio costante e, soprattutto, a documentare ogni valutazione per poter dimostrare che si è adoperato quanto più possibile per il rispetto del Regolamento poiché la sicurezza non dev’essere più considerata un risultato ma, bensì, un metodo di gestione.
Best practice per il trattamento dei dati
Ulteriore strumento per approcciarsi alla compliance aziendale, in materia di protezione dei dati alla luce del GDPR nei sistemi di gestione, è la UNI/Pdr 43:2018.
Nelle more di una normativa tecnica internazionale, l’Ente nazionale di unificazione italiano, di concerto con l’AIP (Associazione Informatici Professionisti) ha elaborato, per primo in Europa, le “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)”, al fine di avviare le prassi adeguate alla normativa europea.
Seppur di contenuto para-normativo, il documento rappresenta un’ottima road map per l’organizzazione di una infrastruttura informatica che consenta di coniugare l’operatività dei sistemi ICT e le prerogative di protezione richieste dal Regolamento.
