TRATTAMENTO DATI

Misure di sicurezza: come valutare, quantificare e mitigare il rischio di utilizzo di un fornitore

Al fine di valutare, quantificare e mitigare il rischio di utilizzo di un fornitore in una o più operazioni di trattamento, l’organizzazione che ricopre il ruolo di titolare del trattamento deve impostare una strategia di gestione dei soggetti terzi esterni all’azienda (fornitori e responsabili). Ecco le best practice

12 Ott 2021
S
Manuela Santini

Information & Cyber Security Advisor presso P4I - Partners4Innovation

Sono sempre di più le organizzazioni che subiscono incidenti di sicurezza e violazioni di dati personali a causa di attacchi ai loro fornitori. Gli attaccanti, prendendo di mira un anello della catena di fornitura, possono raggiungere anche i clienti del target causando all’organizzazione ingenti danni reputazionali e perdite economiche-finanziarie. L’organizzazione colpita potrebbe subire anche sanzioni, per esempio da parte dell’Autorità Garante per la protezione dei dati personali per mancata adozione di misure di sicurezza adeguate o verifica dei requisiti di idoneità del proprio fornitore.

Al fine di valutare, quantificare e mitigare il rischio di utilizzo di un fornitore in una o più operazioni di trattamento, l’organizzazione che ricopre il ruolo di Titolare deve impostare una strategia di gestione dei soggetti terzi esterni all’azienda (“Fornitori”, “Responsabili”).

Fondamentale per l’efficacia di tale strategia è che essa definisca da una parte i criteri di valutazione ex ante dei fornitori, dall’altra preveda modelli di contratto comprensivi di Annex tecnici (istruzioni operative per individuare gli adempimenti in materia di protezione dei dati personali) e processi periodici di controllo dei fornitori, i c.d. Audit.

La scelta dei fornitori in un’ottica “risk-based”

La scelta di esternalizzare servizi come la conservazione, la trasmissione o elaborazione di dati su sistemi eterogenei e spesso distribuiti può impattare significativamente sulle valutazioni di rischio che il Titolare del trattamento è tenuto a svolgere per ottemperare, in particolare, a quanto richiesto dall’art. 32 del GDPR: infatti, le minacce correlate al contesto complessivo del trattamento cosi come la modalità e la probabilità di concretizzarsi delle stesse potrebbero aumentare o diminuire alla luce del coinvolgimento di terze parti.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

I vantaggi e i rischi correlati all’attività di esternalizzazione devono quindi essere presi in considerazione al fine di valutare se i fornitori offrono garanzie sufficienti a mitigare i rischi per i diritti e le libertà degli interessati o se, al contrario, potrebbero introdurne di ulteriori difficilmente mitigabili se non interrompendo il contratto di fornitura.

In quest’ottica, il Titolare non può ricorrere ad un Responsabile qualsiasi ma solamente a Responsabili che presentino «garanzie sufficienti» a soddisfare i requisiti del GDPR tutelando, in particolare, i diritti degli interessati (art. 28.1).

Tenuto conto della sensibilità, del volume e del valore di tutti i sistemi coinvolti nei servizi, processi o attività esternalizzate, la scelta deve quindi ricadere su un soggetto che – in termini di conoscenza specialistica, affidabilità e risorse – garantisca la messa in atto misure di sicurezza tecniche ed organizzative adeguate ai rischi derivanti dall’accordo stesso e dalla tipologia di dati trattati. In caso contrario, il Titolare potrebbe essere chiamato a rispondere per «culpa in eligendo».

I rischi nell’analisi dei rischi: gli errori da evitare per rendere fruibile e ripetibile l’analisi effettuata

I requisiti di sicurezza da richiedere ai fornitori

I fattori da considerare nell’individuazione delle misure tecniche e organizzative da richiedere al fornitore per attenuare i rischi ad un livello accettabile sono molteplici: costi di implementazione delle misure di sicurezza, natura delle minacce, probabilità di accadimento, requisiti di riservatezza, integrità disponibilità ed autenticità dei dati e via dicendo.

Si precisa che, secondo le Linee guida del WP29 in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679: “un rischio residuo elevato inaccettabile include casi in cui gli interessati possano subire conseguenze significative, o addirittura irreversibili, che non possono superare (ad esempio: accesso illegittimo a dati che comportano una minaccia per la vita degli interessati, un loro licenziamento, un rischio finanziario) e/o quando appare evidente che il rischio si verificherà (ad esempio: poiché non si è in grado di ridurre il numero di persone che accedono ai dati a causa delle loro modalità di condivisione, utilizzo o distribuzione o quando non si può porre rimedio a una vulnerabilità ben nota)”.

La scelta delle misure di sicurezza dovrebbe basarsi su standard e best practice di settore applicabili al contesto di fornitura. I requisiti di sicurezza devono essere:

  • chiari, precisi, azionabili e misurabili;
  • coerenti con il mercato ovvero sostenibili e che permettano di mantenere sotto controllo l’evoluzione delle minacce seguendo, anche lo sviluppo delle tecnologie di protezione;
  • integrati con i requisiti di sicurezza di business o requisiti di sicurezza di altre normative vigenti;
  • coerenti con servizi aventi rischi analoghi.

Il ricorso, da parte del Responsabile, a codici di condotta o meccanismi di certificazione o omologazione rilasciate da appositi organismi qualificati e indipendenti può essere visto come indice di garanzia ed affidabilità.

Ulteriori elementi di garanzia e affidabilità sono la proattività del Responsabile nella valutazione delle istruzioni ricevute dal Titolare così come l’eventuale segnalazione al Titolare di istruzioni che a suo parere, violino il GDPR o altre disposizioni, nazionali o comunitarie relative alla protezione dei dati.

Occorre quindi che tra Titolare e Responsabile si instauri un circolo virtuoso. Entrambi dovrebbero perseguire gli stessi obiettivi di sicurezza attraverso la definizione, l’implementazione e l’aggiornamento periodico del processo di gestione della sicurezza delle informazioni.

Un approccio comune alla sicurezza è fondamentale per garantire, nel tempo, gli obiettivi di disponibilità delle informazioni e dei servizi, l’appropriato livello di confidenzialità delle informazioni assicurando anche l’autenticità e l’integrità dei dati, delle transazioni, delle comunicazioni.

Il Titolare deve, inoltre, mantenere una rappresentazione dei servizi, delle applicazioni e delle infrastrutture utilizzate a supporto delle attività di trattamento comprese quelle affidate a terze parti.

Tale rappresentazione, se affiancata ad un efficace processo di Asset Management, favorisce il rispetto dei principi di security e privacy by design/by default nell’ambito di processi quali sviluppo sicuro del software, gestione dei cambiamenti, hardening fino alla gestione delle identità e della tracciabilità delle operazioni.

In particolare, un processo di tracciabilità delle informazioni che veda coinvolti l’impresa e i suoi fornitori è fondamentale per identificare e prevenire comportamenti abusivi o illegittimi compiuti non solo da utenti esterni all’azienda ma anche da dipendenti, collaborati e fornitori aventi accesso ai sistemi informatici messi a disposizione dall’azienda.

Le verifiche di adeguatezza dei fornitori

Le responsabilità del Titolare non si esauriscono nella scelta di fornitori adeguati. Il Titolare è tenuto a verificare nel tempo l’effettivo soddisfacimento delle garanzie di sicurezza previste contrattualmente. A seguito di esplicita richiesta formulata al Responsabile, il Titolare deve avere la possibilità di ottenere evidenza delle misure di sicurezza adottate dal Responsabile e da eventuali Sub-responsabili.

Sebbene al Responsabile del trattamento possa essere attribuito un certo margine di autonomia (e correlativa responsabilità) nella individuazione dei sistemi e delle misure idonee a garantire la sicurezza dei dati gestiti nei propri archivi, è opportuno che queste siano conosciute e approvate dal Titolare.

Per avere evidenza del livello complessivo di adeguatezza e conformità con la normativa vigente, oltre alla richiesta di esibizione della nomina conferita dal Responsabile ai Sub-responsabili del Trattamento, si ritiene opportuno che il Titolare verifichi, con il supporto di esperti con competenze legali che di sicurezza delle informazioni:

  • la presenza di un processo di gestione della sicurezza delle informazioni integrato con gli aspetti di data protection previsti dalle normative vigenti;
  • la definizione di ruoli e responsabilità in ambito data protection;
  • il rispetto dei requisiti di sicurezza definiti contrattualmente e/o dell’eventuale piano di mitigazione concordato tra le parti, in particolare in merito alla qualità dei dati, alla minimizzazione, cifratura e anonimizzazione dei dati personali;
  • le modalità di gestione degli adempimenti richiesti dalla normativa in particolare per quanto concerne la gestione delle richieste degli interessati e la gestione violazioni di dati personali;
  • l’adozione di un processo che permetta l’avviso tempestivo di qualsiasi anomalia, vulnerabilità, sospetto incidente o incidente e più in generale non conformità rilevate durante le attività di controllo e monitoraggio;
  • l’adozione di un processo di governance dei sub-responsabili, al fine di verificare che anch’essi rispettino le stesse misure di sicurezza o misure equivalenti a quelle applicate al fornitore.

L’attività di verifica può anche essere eseguita da una terza parte in accordo con il Titolare.

La documentazione prodotta deve essere archiviata dal Titolare insieme a tutta la documentazione contrattuale. Una mancata attività di verifica, in caso di inadempimenti da parte del Responsabile, potrebbe comportare una “culpa in vigilando” in capo al Titolare, il quale è tenuto pertanto a verificare se i suoi Fornitori agiscono in modo difforme o contrario rispetto alle legittime istruzioni impartite.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2