Le misure di sicurezza nel GDPR: quali sono, come applicarle, costi di attuazione - Cyber Security 360

GUIDA NORMATIVA

Le misure di sicurezza nel GDPR: quali sono, come applicarle, costi di attuazione

A differenza della precedente normativa che, pur lasciando al Titolare il compito di valutare misure di sicurezza adeguate ai rischi, elencava una serie di misure minime, il GDPR non prescrive al riguardo alcuna misura obbligatoria. Ma è veramente così? Facciamo luce

11 Mag 2021
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

La precedente normativa in materia di protezione dei dati personali elencava una serie di misure minime di sicurezza, pur lasciando al titolare del trattamento il compito di valutare quelle adeguate ai rischi: il GDPR, invece, al riguardo non prescrive alcuna misura obbligatoria, ma è utile andare con ordine e chiarire alcuni aspetti importanti.

Le misure di sicurezza nel GDPR: gli articoli di riferimento

Prima di tutto, prediamo in considerazione quali sono gli articoli che invitano il titolare del trattamento ad adottare misure tecniche e organizzative adeguate, dopo aver effettuato una valutazione dei rischi.

Questi sono quantomeno gli articoli 24, 25 e 32 (sempre obbligatori)[1]:

    • Articolo 24 – Responsabilità del titolare del trattamento (C74-C78).
    1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
    • Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78).
    1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
    • Articolo 32 – Sicurezza del trattamento (C83).
    1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: …
    2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Come si evince dalla lettura degli articoli, le misure tecniche e organizzative adeguate non sono necessariamente e solamente misure a tutela della sicurezza (art. 32), ma comprendono, ad esempio, la tutela dei principi (art. 25).

Misure di sicurezza nel GDPR: indicazioni generiche

Limitandoci al solo ambito della sicurezza, oggetto di questo articolo, a differenza di quanto riportava l’Allegato B del D.lgs. 196/03, l’art. 32 non elenca una serie di misure prescrittive, ma si limita a dare delle indicazioni generiche:

    • che comprendono, tra le altre, se del caso:
    1. la pseudonimizzazione e la cifratura dei dati personali;
    2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
    3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
    4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

In realtà, tuttavia, una attenta lettura dell’art. 32 porta già ad individuare una misura obbligatoria, che non è compresa nell’elenco sopra riportato, ma nel comma 4, il quale infatti recita:

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri

La formazione dei soggetti autorizzati al trattamento dei dati è quindi un obbligo normativo, ed anzi costituisce una delle poche misure di sicurezza obbligatore del GDPR.

Ma vi è un’altra misura, ben più significativa ed onerosa per i Titolari che è necessario rispettare, e la si trova nel già citato art. 25, il quale recita:

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità.

In particolare, mentre la minimizzazione della quantità dei dati personali raccolti, della portata del trattamento e del periodo di conservazione, richiede l’adozione di misure tecnico/organizzative che non possono essere considerate misure di sicurezza, sicuramente la minimizzazione del numero dei soggetti che possono accedere ai dati personali richiede l’implementazione di adeguati sistemi di profilazione ed autorizzazione all’accesso.

La reale capacità di gestire adeguatamente tale prescrizione è, a dire il vero, limitata a organizzazioni molto piccole o comunque dotate di un sistema informativo molto semplice.

Le difficoltà a consentire l’accesso ai dati

Al di là della teoria, consentire un accesso ai soli dati (ed alle sole funzioni) strettamente necessari per lo svolgimento delle specifiche finalità del trattamento è alquanto complesso, ma non oggetto di analisi in questo articolo.

Va anche precisato che tale misura di sicurezza era una di quelle già previste dal sopra citato Allegato B del D.lgs. 196/03 e pertanto, anche se le misure di sicurezza li citate non sono teoricamente più obbligatorie, risulterebbe molto difficile giustificarne l’assenza.

Apparirebbe, infatti, alquanto strano e poco giustificabile, durante una visita ispettiva, non riscontrare la presenza di alcune misure di sicurezza ritenute obbligatorie dalla precedente normativa. Per quale motivo un Titolare dovrebbe volontariamente diminuire il proprio livello di sicurezza?

In altre parole, anche se formalmente non sono più obbligatorie, è molto difficile giustificare l’assenza delle misure minime di sicurezza presenti nell’Allegato B. L’interpretazione più ovvia che un auditor potrebbe dare in questo caso, è che in realtà quella misura di sicurezza non sia mai stata implementata.

Analogamente, sempre in caso di controllo, apparirebbe insolito riscontrare un progetto di implementazione di tale misura, considerandola come un adeguamento alla prescrizione prevista dell’art. 25, essendo tale misura già prevista dall’Allegato B; infatti, l’attivazione di tale progetto, costituirebbe una evidenza oggettiva del mancato rispetto di una misura minima obbligatoria (presidiata penalmente) prevista dalla precedente normativa.

Quindi non trovare oggi una misura di sicurezza obbligatoria prevista dalla precedente normativa, o trovare un progetto di “adeguamento” che preveda l’implementazione di una di tali misure, costituiscono quantomeno un elemento di forte attenzione per un auditor[2].

Misure di sicurezza nel GDPR: protezione dati by design e by default

Se ci fossero dubbi su quanto prevede l’art. 25 in merito alla minimizzazione nell’accesso ai dati è utile riferirsi alle Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita Versione 2.0 dell’EDPB adottate il 20 ottobre 2020 che al riguardo recitano:

2.2.2.4 Accessibilità dei dati

55. Il titolare dovrebbe prevedere limitazioni quanto ai soggetti abilitati all’accesso e alla tipologia dell’accesso ai dati personali sulla base di una valutazione della necessità e assicurare che i dati personali siano realmente accessibili a chi ne ha bisogno in caso di necessità, ad esempio in situazioni critiche. I controlli dell’accesso dovrebbero essere effettuati per l’intero flusso di dati durante il trattamento.

Tali linee guida sono molto utili anche per considerare altri aspetti che riguardano da un lato l’analisi dei rischi e dell’altro la valutazione di adeguatezza delle misure tecniche ed organizzative da implementare.

In particolare gli artt. 25 e 32, fanno riferimento per la valutazione di dette misure allo stato dell’arte e ai costi di attuazione, due termini la cui interpretazione può suscitare qualche perplessità.

Al riguardo le linee guida riportano le seguenti spiegazioni.

Data protection by design e by default: lo stato dell’arte

Per quanto attiene lo Stato dell’arte

19. Nell’ambito dell’articolo 25, il riferimento allo «stato dell’arte» impone l’obbligo ai titolari, allorché determinano le misure tecniche e organizzative adeguate, di tenere conto degli attuali progressi compiuti dalla tecnologia disponibile sul mercato. Ciò comporta che i titolari debbano essere a conoscenza dei progressi tecnologici e rimanere sempre aggiornati sulle opportunità e i rischi per il trattamento, in termini di protezione dei dati, derivanti dalle tecnologie e su come mettere in atto e aggiornare le misure e le garanzie che assicurano un’attuazione efficace dei principi e dei diritti degli interessati tenendo conto dell’evoluzione del panorama tecnologico.

20. Lo «stato dell’arte» è un concetto dinamico che non può essere definito staticamente con riguardo a un determinato momento, bensì dovrebbe essere oggetto di una valutazione continuativa nel contesto dei progressi tecnologici. Di fronte a tali progressi, un titolare può riscontrare che una misura in precedenza atta a conferire un livello di protezione adeguato ora non lo è più. Trascurare l’aggiornamento sui progressi tecnologici potrebbe, quindi, comportare una mancata osservanza dell’articolo 25.

21. Il criterio dello «stato dell’arte» non si applica esclusivamente alle misure tecnologiche, ma anche a quelle organizzative. La mancanza di misure organizzative adeguate può ridurre o compromettere del tutto l’efficacia di una tecnologia scelta. Possono costituire esempi di misure organizzative l’adozione di politiche interne, la formazione aggiornata in materia di tecnologia, sicurezza e protezione dei dati nonché politiche di gestione e di governance della sicurezza informatica.

Data protection by design e by default: costi di attuazione

E per quanto riguarda i Costi di attuazione

23. Il titolare può tenere conto del costo di attuazione allorché sceglie e applica misure tecniche e organizzative adeguate e garanzie necessarie che mettono efficacemente in atto i principi al fine di tutelare i diritti degli interessati. Il costo si riferisce alle risorse in generale, compresi il tempo e le risorse umane.

24. Il fattore costo implica che il titolare non impieghi una quantità sproporzionata di risorse nel caso in cui esistano misure alternative, meno dispendiose, ma efficaci. Tuttavia, il costo di attuazione rappresenta un fattore di cui tenere conto nel realizzare la protezione dei dati fin dalla progettazione, e non già un motivo per astenersi dal realizzarla.

25. Le misure individuate devono pertanto garantire che l’attività di trattamento prevista dal titolare non comporti trattamenti di dati personali in violazione dei principi, indipendentemente dal costo di tali misure. I titolari devono essere in grado di gestire i costi complessivi per poter attuare efficacemente tutti i principi e, di conseguenza, tutelare i diritti.

Natura, ambito di applicazione, contesto e finalità del trattamento

È evidente che quanto detto per l’art. 25 vale anche per l’art. 32.

Ulteriore specificazione, valida in questo caso anche per l’art. 24 è la spiegazione del concetto di natura, ambito di applicazione, contesto e finalità del trattamento.

Al riguardo le Linee guida recitano:

26. I titolari devono tenere conto della natura, dell’ambito di applicazione, del contesto e della finalità del trattamento allorché determinano le misure necessarie.

27. Questi fattori devono essere interpretati in modo coerente con il ruolo ad essi attribuito in altre disposizioni del RGPD, quali gli articoli 24, 32 e 35, allo scopo di integrare principi di protezione dei dati nella progettazione del trattamento.

28. In breve, il concetto di natura può essere inteso come le caratteristiche intrinseche11 del trattamento. L’ambito di applicazione fa riferimento alla dimensione e all’ampiezza del trattamento. Il contesto riguarda le circostanze nel trattamento che possono influenzare le aspettative degli interessati, mentre la finalità si riferisce agli obiettivi del trattamento.

Misure di sicurezza nel GDPR: le linee guida

Oltre alla interpretazione di questi concetti, che come evidenziato sono presenti più volte nel testo di legge, le citate linee guida suggeriscono anche una serie di misure di sicurezza (anche se limitate ai parametri di integrità e riservatezza e non alla disponibilità).

Al riguardo vengono citati:

    • sistema di gestione della sicurezza delle informazioni – occorre disporre di uno strumento operativo per gestire le politiche e le procedure per la sicurezza delle informazioni;
    • analisi del rischio – valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti delle persone, e contrastare quelli identificati, nonché, ai fini dell’utilizzo nella valutazione dei rischi, sviluppare e gestire una «modellizzazione delle minacce» esaustiva, sistematica e realistica e un’analisi della superficie di attacco riferita al software specifico così da ridurre i vettori di attacco e le opportunità di sfruttare eventuali punti deboli e vulnerabilità;
    • sicurezza fin dalla progettazione – tenere conto non appena possibile dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;
    • manutenzione – rivedere e verificare periodicamente il software, l’hardware, i sistemi e i servizi, ecc. per scoprire eventuali vulnerabilità dei sistemi di supporto del trattamento;
    • gestione del controllo degli accessi – solo il personale autorizzato che ne ha necessità dovrebbe avere accesso ai dati personali necessari ai loro compiti di trattamento. Inoltre, il titolare dovrebbe differenziare i privilegi di accesso del personale autorizzato;
    1. limitazione dell’accesso (agenti) – definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno di accedere ai dati personali per svolgere le proprie funzioni, e limitare l’accesso di conseguenza;
    2. limitazione dell’accesso (contenuto) – nel contesto di ciascuna operazione di trattamento, limitare l’accesso per ogni set di dati ai soli attributi che sono necessari allo svolgimento di tale operazione. Limitare inoltre l’accesso ai dati relativi agli interessati di competenza del rispettivo dipendente;
    3. segregazione dell’accesso – definire il trattamento dei dati in modo tale che nessuno necessiti di accedere a tutti i dati raccolti sull’interessato, tanto meno a tutti i dati personali di una categoria specifica di interessati;
    • trasferimenti sicuri – i trasferimenti sono protetti da modifiche e accessi non autorizzati e accidentali;
    • conservazione sicura – la conservazione dei dati è protetta da modifiche e accessi non autorizzati. Dovrebbero essere previste procedure per valutare il rischio di conservazione centralizzata o decentrata, e le categorie di dati personali cui si applicano. Alcuni dati potrebbero richiedere misure di sicurezza supplementari rispetto ad altri o l’isolamento da questi ultimi;
    • pseudonimizzazione – i dati personali e i backup/registri di eventi dovrebbero essere pseudonimizzati come misura di sicurezza per ridurre al minimo i rischi di potenziali violazioni dei dati, ad esempio utilizzando l’hashing o la cifratura;
    • backup/registri di eventi – conservare backup e registri di eventi nella misura necessaria per la sicurezza delle informazioni, utilizzare registri delle attività (audit trails) e il monitoraggio degli eventi come controlli di sicurezza su base routinaria, proteggendoli da modifiche e accessi non autorizzati e accidentali e rivedendoli periodicamente, oltre a gestire in modo tempestivo eventuali incidenti;
    • ripristino in caso di disastro (disaster recovery)/continuità operativa – soddisfare i requisiti per il ripristino del sistema informativo in caso di disastro e per la continuità operativa, al fine di ripristinare la disponibilità dei dati personali a seguito di incidenti rilevanti;
    • protezione in base al rischio – tutte le categorie di dati personali dovrebbero essere protette con misure adeguate contro il rischio di violazioni della sicurezza. I dati che comportano rischi particolari dovrebbero, ove possibile, essere tenuti separati dagli altri dati personali;
    • gestione della risposta in caso di incidenti legati alla sicurezza – occorre disporre di metodologie, procedure e risorse per rilevare, limitare, gestire e segnalare le violazioni dei dati e trarne insegnamenti;
    • gestione degli incidenti – al fine di rendere più solido il sistema di trattamento, il titolare deve disporre di procedure per gestire violazioni e incidenti, ivi comprese procedure di notifica quali la gestione delle notifiche (per l’autorità di controllo) e delle informazioni (per gli interessati).

Misure di sicurezza nel GDPR: i punti da chiarire

Sebbene non vincolanti, le indicazioni fornite da queste linee guida sono molto significative, in quanto elaborate dalle varie Autorità di controllo. Si può ritenere quindi che tali misure di sicurezza siano quelle che, in caso di vista ispettiva, un’Autorità si aspetterebbe di trovare.

Queste linee guida costituiscono quindi una fonte di informazioni che va ben al di là dell’oggetto specifico di analisi e costituiscono un punto di riferimento generale anche rispetto a temi quali l’analisi del rischio e le misure di sicurezza.

Non sono tuttavia immuni da difetti; il più rilevante è il costante riferimento nel testo ai diritti e le libertà degli interessati in luogo dei diritti e le libertà delle persone fisiche, come invece prescritto dalla normativa e riscontrabile in tutti gli articoli prima citati[3].

Una formulazione che non è senza conseguenze.

Anche se è poco probabile che un Titolare sia sanzionato per il fatto di aver effettuato un’analisi dei rischi riferendosi ai soli interessati e non anche alle persone fisiche potenzialmente impattate (ad esempio i famigliari di un paziente), nondimeno un Titolare deve ricordare che anche tali soggetti (oltre ad altri) possono, in virtù dell’art. 82, chiedere un risarcimento danni in conseguenza di un danno subito[4].

Articolo 82

Diritto al risarcimento e responsabilità (C142, C146, C147)

1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Quindi, non considerare anche di questi soggetti durante un’analisi dei rischi ai sensi degli artt. 24, 25, 32 del GDPR espone il Titolare ad un maggior rischio in caso di risarcimento danni.

Da ultimo un aspetto particolarmente importante e per lo più trascurato.

Le misure tecniche preventive di profilazione ed autorizzazione all’accesso ai dati non possono prevenire un accesso illecito ai dati da parte di un soggetto che è legittimato a farlo.

In altre parole, un operatore di filiale può accedere ai conti di tutti i clienti della filiale, in quanto ha correttamente le autorizzazioni per farlo (è cioè legittimato a farlo).

Tuttavia l’accesso a tali dati deve essere opportunamente motivato, ad esempio da una richiesta di un cliente o per una valutazione dello stesso. L’accesso non può essere giustificato da una mera curiosità dell’operatore stesso.

Un accesso effettuato senza una reale motivazione di lavoro quindi è illecito e, a dire il vero, costituisce una violazione di dati personali.

Ecco quindi la necessità di affiancare a misure preventive, che limitino tecnicamente l’accesso ai dati, anche misure che consentano di verificare che tale accesso sia sempre lecito, ad esempio, mediante la consultazione dei log delle operazioni effettuate (con i conseguenti adempimenti previsti dall’art. 4 della legge 300/70).

Fra l’altro tale indicazione, oltre ad essere citata nelle misure di sicurezza suggerite dalle linee guida in analisi, nel mondo bancario costituisce da anni un obbligo previsto da uno specifico provvedimento dell’Autorità Garante.

Conclusioni

La complessa individuazione e gestione di misure di sicurezza adeguate (o obbligatorie) può trovare supporto nei documenti di indirizzo elaborati dall’EDPB, la cui lettura deve però sempre tenere in giusta considerazione quelle che sono le richieste espresse nel testo della normativa.

 

NOTE

  1. Le analisi dei rischi nel GDPR: regole e metodologie realizzative 

  2. I rischi dell’attività di audit nel percorso di adeguamento al GDPR 

  3. Su questo tema si veda in particolare il mio articolo: Sicurezza e GDPR, i soggetti tutelati: cosa valutare per effettuare un’analisi dei rischi compliant

  4. Casistica che ho già avuto modo di analizzare in concreto

@RIPRODUZIONE RISERVATA

Articolo 1 di 5