Sono sempre di più le organizzazioni che subiscono incidenti di sicurezza e violazioni di dati personali a causa di attacchi ai loro fornitori. Gli attaccanti, prendendo di mira un anello della catena di fornitura, possono raggiungere anche i clienti del target causando all’organizzazione ingenti danni reputazionali e perdite economiche-finanziarie. L’organizzazione colpita potrebbe subire anche sanzioni, per esempio da parte dell’Autorità Garante per la protezione dei dati personali per mancata adozione di misure di sicurezza adeguate o verifica dei requisiti di idoneità del proprio fornitore.
Al fine di valutare, quantificare e mitigare il rischio di utilizzo di un fornitore in una o più operazioni di trattamento, l’organizzazione che ricopre il ruolo di Titolare deve impostare una strategia di gestione dei soggetti terzi esterni all’azienda (“Fornitori”, “Responsabili”).
Fondamentale per l’efficacia di tale strategia è che essa definisca da una parte i criteri di valutazione ex ante dei fornitori, dall’altra preveda modelli di contratto comprensivi di Annex tecnici (istruzioni operative per individuare gli adempimenti in materia di protezione dei dati personali) e processi periodici di controllo dei fornitori, i c.d. Audit.
Indice degli argomenti
La scelta dei fornitori in un’ottica “risk-based”
La scelta di esternalizzare servizi come la conservazione, la trasmissione o elaborazione di dati su sistemi eterogenei e spesso distribuiti può impattare significativamente sulle valutazioni di rischio che il Titolare del trattamento è tenuto a svolgere per ottemperare, in particolare, a quanto richiesto dall’art. 32 del GDPR: infatti, le minacce correlate al contesto complessivo del trattamento cosi come la modalità e la probabilità di concretizzarsi delle stesse potrebbero aumentare o diminuire alla luce del coinvolgimento di terze parti.
I vantaggi e i rischi correlati all’attività di esternalizzazione devono quindi essere presi in considerazione al fine di valutare se i fornitori offrono garanzie sufficienti a mitigare i rischi per i diritti e le libertà degli interessati o se, al contrario, potrebbero introdurne di ulteriori difficilmente mitigabili se non interrompendo il contratto di fornitura.
In quest’ottica, il Titolare non può ricorrere ad un Responsabile qualsiasi ma solamente a Responsabili che presentino «garanzie sufficienti» a soddisfare i requisiti del GDPR tutelando, in particolare, i diritti degli interessati (art. 28.1).
Tenuto conto della sensibilità, del volume e del valore di tutti i sistemi coinvolti nei servizi, processi o attività esternalizzate, la scelta deve quindi ricadere su un soggetto che – in termini di conoscenza specialistica, affidabilità e risorse – garantisca la messa in atto misure di sicurezza tecniche ed organizzative adeguate ai rischi derivanti dall’accordo stesso e dalla tipologia di dati trattati. In caso contrario, il Titolare potrebbe essere chiamato a rispondere per «culpa in eligendo».
I requisiti di sicurezza da richiedere ai fornitori
I fattori da considerare nell’individuazione delle misure tecniche e organizzative da richiedere al fornitore per attenuare i rischi ad un livello accettabile sono molteplici: costi di implementazione delle misure di sicurezza, natura delle minacce, probabilità di accadimento, requisiti di riservatezza, integrità disponibilità ed autenticità dei dati e via dicendo.
Si precisa che, secondo le Linee guida del WP29 in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679: “un rischio residuo elevato inaccettabile include casi in cui gli interessati possano subire conseguenze significative, o addirittura irreversibili, che non possono superare (ad esempio: accesso illegittimo a dati che comportano una minaccia per la vita degli interessati, un loro licenziamento, un rischio finanziario) e/o quando appare evidente che il rischio si verificherà (ad esempio: poiché non si è in grado di ridurre il numero di persone che accedono ai dati a causa delle loro modalità di condivisione, utilizzo o distribuzione o quando non si può porre rimedio a una vulnerabilità ben nota)”.
La scelta delle misure di sicurezza dovrebbe basarsi su standard e best practice di settore applicabili al contesto di fornitura. I requisiti di sicurezza devono essere:
- chiari, precisi, azionabili e misurabili;
- coerenti con il mercato ovvero sostenibili e che permettano di mantenere sotto controllo l’evoluzione delle minacce seguendo, anche lo sviluppo delle tecnologie di protezione;
- integrati con i requisiti di sicurezza di business o requisiti di sicurezza di altre normative vigenti;
- coerenti con servizi aventi rischi analoghi.
Il ricorso, da parte del Responsabile, a codici di condotta o meccanismi di certificazione o omologazione rilasciate da appositi organismi qualificati e indipendenti può essere visto come indice di garanzia ed affidabilità.
Ulteriori elementi di garanzia e affidabilità sono la proattività del Responsabile nella valutazione delle istruzioni ricevute dal Titolare così come l’eventuale segnalazione al Titolare di istruzioni che a suo parere, violino il GDPR o altre disposizioni, nazionali o comunitarie relative alla protezione dei dati.
Occorre quindi che tra Titolare e Responsabile si instauri un circolo virtuoso. Entrambi dovrebbero perseguire gli stessi obiettivi di sicurezza attraverso la definizione, l’implementazione e l’aggiornamento periodico del processo di gestione della sicurezza delle informazioni.
Un approccio comune alla sicurezza è fondamentale per garantire, nel tempo, gli obiettivi di disponibilità delle informazioni e dei servizi, l’appropriato livello di confidenzialità delle informazioni assicurando anche l’autenticità e l’integrità dei dati, delle transazioni, delle comunicazioni.
Il Titolare deve, inoltre, mantenere una rappresentazione dei servizi, delle applicazioni e delle infrastrutture utilizzate a supporto delle attività di trattamento comprese quelle affidate a terze parti.
Tale rappresentazione, se affiancata ad un efficace processo di Asset Management, favorisce il rispetto dei principi di security e privacy by design/by default nell’ambito di processi quali sviluppo sicuro del software, gestione dei cambiamenti, hardening fino alla gestione delle identità e della tracciabilità delle operazioni.
In particolare, un processo di tracciabilità delle informazioni che veda coinvolti l’impresa e i suoi fornitori è fondamentale per identificare e prevenire comportamenti abusivi o illegittimi compiuti non solo da utenti esterni all’azienda ma anche da dipendenti, collaborati e fornitori aventi accesso ai sistemi informatici messi a disposizione dall’azienda.
Le verifiche di adeguatezza dei fornitori
Le responsabilità del Titolare non si esauriscono nella scelta di fornitori adeguati. Il Titolare è tenuto a verificare nel tempo l’effettivo soddisfacimento delle garanzie di sicurezza previste contrattualmente. A seguito di esplicita richiesta formulata al Responsabile, il Titolare deve avere la possibilità di ottenere evidenza delle misure di sicurezza adottate dal Responsabile e da eventuali Sub-responsabili.
Sebbene al Responsabile del trattamento possa essere attribuito un certo margine di autonomia (e correlativa responsabilità) nella individuazione dei sistemi e delle misure idonee a garantire la sicurezza dei dati gestiti nei propri archivi, è opportuno che queste siano conosciute e approvate dal Titolare.
Per avere evidenza del livello complessivo di adeguatezza e conformità con la normativa vigente, oltre alla richiesta di esibizione della nomina conferita dal Responsabile ai Sub-responsabili del Trattamento, si ritiene opportuno che il Titolare verifichi, con il supporto di esperti con competenze legali che di sicurezza delle informazioni:
- la presenza di un processo di gestione della sicurezza delle informazioni integrato con gli aspetti di data protection previsti dalle normative vigenti;
- la definizione di ruoli e responsabilità in ambito data protection;
- il rispetto dei requisiti di sicurezza definiti contrattualmente e/o dell’eventuale piano di mitigazione concordato tra le parti, in particolare in merito alla qualità dei dati, alla minimizzazione, cifratura e anonimizzazione dei dati personali;
- le modalità di gestione degli adempimenti richiesti dalla normativa in particolare per quanto concerne la gestione delle richieste degli interessati e la gestione violazioni di dati personali;
- l’adozione di un processo che permetta l’avviso tempestivo di qualsiasi anomalia, vulnerabilità, sospetto incidente o incidente e più in generale non conformità rilevate durante le attività di controllo e monitoraggio;
- l’adozione di un processo di governance dei sub-responsabili, al fine di verificare che anch’essi rispettino le stesse misure di sicurezza o misure equivalenti a quelle applicate al fornitore.
L’attività di verifica può anche essere eseguita da una terza parte in accordo con il Titolare.
La documentazione prodotta deve essere archiviata dal Titolare insieme a tutta la documentazione contrattuale. Una mancata attività di verifica, in caso di inadempimenti da parte del Responsabile, potrebbe comportare una “culpa in vigilando” in capo al Titolare, il quale è tenuto pertanto a verificare se i suoi Fornitori agiscono in modo difforme o contrario rispetto alle legittime istruzioni impartite.
