Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Misure idonee di sicurezza: garantire integrità e riservatezza dei dati

Per poter individuare le misure idonee di sicurezza e garantire così integrità e riservatezza dei dati, ogni azienda dovrà strutturare un processo “continuo” di valutazione del rischio e individuazione dei cosiddetti rimedi. Ecco un possibile approccio “post GDPR”

14 Dic 2018
P

Diego Padovan

Data Protection Officer, Amministratore DPO Compliance Consulting


Il Regolamento Generale sulla protezione dei dati personali n. 679/2016 e il Codice privacy italiano novellato dal D.lgs. n. 101 del 2018, pongono una sfida molto importante alle PMI italiane: decidere caso per caso quali sono le misure idonee di sicurezza da applicare al proprio sistema di gestione dei dati personali.

In effetti, l’abrogazione delle misure minime di sicurezza elencate nell’ex allegato B al Codice privacy italiano (D.lgs. 196/2003) ha prodotto molte incertezze e interrotto il mero ricorso da parte di molte aziende italiane alla lista ivi contenuta, già da tempo insufficiente a coprire le diverse necessità in tema di sicurezza in caso di trattamento sui dati personali.

Il nuovo quadro normativo richiede al titolare di assumersi la responsabilità di decidere quali siano le misure idonee di sicurezza, cioè quelle in grado di fornire un adeguato livello di sicurezza tenuto conto dei propri mezzi, delle finalità perseguite attraverso il trattamento dei dati degli interessati e della natura stessa delle informazioni trattate.

Misure idonee di sicurezza: approccio pragmatico alla gestione del rischio

Una PMI che intenda dunque mettere in atto le misure in conformità al GDPR dovrebbe quindi puntare su un approccio pragmatico alla gestione del rischio e della sicurezza aziendale, cioè in buona parte libero da formalismi e appesantimenti burocratici, che abbia alla base un duplice obiettivo: da un lato garantire il rispetto dei principi applicabili al trattamento di dati personali, dall’altro mitigare, nella massima efficienza possibile, i fattori di rischio presenti nella specifica realtà aziendale e ridurre gli impatti delle eventuali conseguenze negative in caso di violazione dei dati personali trattati.

Vale la pena sottolineare che una valutazione del rischio complessiva, sui trattamenti effettuati dall’organizzazione, si intende necessaria e propedeutica all’individuazione delle misure idonee di sicurezza di cui stiamo parlando: in aderenza a quanto previsto dal GDPR, se il titolare avrà fatto proprio il principio di accountability, un esempio di processo può essere incardinato sulla base del registro dei trattamenti, seguito da una cosiddetta mappatura dei sistemi hardware e software, dei canali di comunicazione e della documentazione cartacea, per poi procedere alla valutazione dei rischi.

Senza alcuna pretesa di esaustività e rimandando ad un approfondimento specifico il tema, il Titolare del trattamento che eseguirà dette attività potrà vantare di avere un quadro chiaro delle maggiori aree di intervento entro cui applicare le misure idonee di sicurezza.

Personalizzare le misure idonee di sicurezza

Ciò premesso, dando per definite le aree di maggior rischio, come procedere all’individuazione delle misure idonee di sicurezza può essere evinto dallo stesso GDPR: all’art. 5, comma 1, lettera f, è imposto al titolare del trattamento che i dati personali devono essere trattati in maniera da garantire un’idonea sicurezza mediante misure tecniche e organizzative adeguate, cioè tali da scongiurare trattamenti non autorizzati o illeciti, ma anche evitare la perdita, distruzione o danno accidentali degli stessi (la cosiddetta integrità e riservatezza).

Il concetto è ribadito all’art.32, cui si aggiunge l’importante necessità di personalizzare le soluzioni di sicurezza da impostare, anche puntando all’efficienza organizzativa, tenuto conto dello stato dell’arte in cui opera il titolare, i costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento.

Sempre all’art. 32 del GDPR è possibile trovare alcuni utili dettagli che possono aiutare il titolare del trattamento ad individuare i corretti mezzi di intervento; qui, infatti, sono elencate alcune misure che potrebbero essere considerate idonee in fase di valutazione dei cosiddetti rimedi, quali:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Evitare misure idonee di sicurezza che siano non necessarie o sproporzionate

Va da sé che le misure suddette non sono da intendersi né minime, né esaustive, tantomeno applicabili a tutte le situazioni. Si pensi, ad esempio, all’impiego delle tecniche di cifratura sui dati trattati: possono essere impegnative e contemporaneamente inefficienti, poiché non necessarie o sproporzionate rispetto alle tipologie di dati trattati.

Senza addentrarsi nei possibili effetti di un’adesione a codici di condotta o a meccanismi di certificazione, è bene ricordare che il GDPR porta il titolare del trattamento ad impostare una risposta al rischio in considerazione del contesto e dello stato dell’arte in cui opera: ciò significa tenere in debito conto tutti i fattori esogeni all’organizzazione e l’evoluzione della stessa e quindi scartando a priori qualsiasi approccio una tantum o statico nel tempo.

Seguendo il GDPR avremo quindi un processo di analisi e individuazione dei rimedi strutturato su almeno due livelli. Per quanto riguarda il rischio sottostante esso sarà ripartito tra:

  • organizzativo: in quest’ambito dovrebbero essere considerati tutti quegli elementi che sono legati all’organizzazione, intesa come insieme complesso di persone e attività, regolate secondo certe norme o procedure interne in base a ruoli collegati tra loro, anche in modo gerarchico e con particolare accorgimento rispetto al loro rapporto con l’ambiente esterno nel tempo. Un esempio pratico è incluso nello stesso GDPR: il rischio concreto di accesso e divulgazione non autorizzata a dati personali conservati o comunque trattati;
  • tecnico: in quest’ambito, la sicurezza dell’informazione è caratterizzata da integrità, riservatezza e disponibilità delle informazioni; pertanto il rischio andrebbe valutato almeno in base a questi tre parametri, sia in riferimento all’ambiente fisico che informatico, possibilmente integrando tale base di valutazione con la necessità di autenticità dell’informazione. Un esempio pratico è incluso anche in questo caso tra le righe del GDPR: l’esposizione al rischio di perdita irreversibile dei dati.

Una siffatta analisi condurrà dunque all’individuazione di misure di mitigazione ripartite a loro volta su due livelli:

  • da un punto di vista organizzativo, sono spesso necessari formazione del personale autorizzato al trattamento, redazione di policy interne, livelli di autorizzazione differenziati sulla base dei processi di trattamento, contratti controller-processor adeguati agli specifici trattamenti esternalizzati ecc.;
  • a livello tecnico, sono spesso necessari interventi semplici che potrebbero riguardare l’adozione di un antivirus licenziato, un firewall adeguato, una procedura per la conservazione e recupero delle chiavi di accesso, l’impostazione corretta dei livelli di permission al software gestionale e così via.

Valutare il proprio apparato di difesa a tutela dei dati

Considerato quanto sopra, il titolare del trattamento che si appresti a valutare il proprio apparato di difesa a tutela dei dati personali trattati, può trovare aiuto da diverse fonti; in questo caso si consiglia di seguire le indicazioni o gli strumenti forniti da organismi ufficiali o autorevoli, come ad esempio le Autorità nazionali per la protezione dei dati personali, lo stesso Board europeo per la protezione dei dati personali (EDPB), nonché l’ENISA (European Union Agency for Network and Information Security).

Estrema cautela va però posta nella loro trasposizione all’interno dell’organizzazione. Si pensi, ad esempio, alla lista presente nel sito dell’Autorità francese (CNIL), che fornisce un condivisibile e ragionevole elenco di rimedi utili in molteplici situazioni, ma che se applicato tout court può forzare un’organizzazione a sostenere eccessivi costi e oneri organizzativi.

Il CNIL consiglia una lista ben definita di misure adattabili al contesto PMI, tra le diverse misure proposte si riporta brevemente la seguente lista:

  • incrementare la consapevolezza degli autorizzati, attraverso una serie di misure che implicano formazione, aggiornamento e accesso a procedure e policy specifiche in ambito privacy e security, prevedendo contemporaneamente l’attribuzione di responsabilità specifiche e possibili provvedimenti in caso di mancato rispetto delle stesse o delle policy;
  • procedure di autenticazione, attraverso credenziali univoche, evitando account condivisi, con procedure di creazione e cancellazione delle password ben definite e con un livello di complessità adeguato;
  • gestione degli account utenti adeguata, cioè che consideri il ciclo di vita dell’account, dalla creazione alla dismissione dello stesso, prevedendo anche una procedura di revisione annuale;
  • gestire i log di accesso e gli eventuali accessi non autorizzati, impostando delle procedure specifiche per entrambe le situazioni, fornendo una debita informativa a tutti gli interessati, e nel caso all’Autorità;
  • mettere in sicurezza le postazioni di lavoro, attraverso logout automatici, update degli OS e degli antivirus, incoraggiando gli utenti ad un backup periodico e possibilmente limitare a priori gli utilizzi degli strumenti aziendali per fini personali;
  • mettere in sicurezza gli handset aziendali, soprattutto quelli mobili, per cui va posta cautela nell’impostazione delle misure di sincronizzazione, incoraggiando tecniche di codifica per file o cartelle specifiche, accessibili quindi mediante procedure di autenticazione definite o attivabili in caso di furto e/o perdita del bene aziendale;
  • proteggere la rete aziendale, attraverso l’abilitazione delle sole funzionalità utili alla funzione o unità organizzativa, ad esempio inibendo servizi quali il peer-to-peer per finalità ricreative, proteggere adeguatamente la rete Wi-Fi aziendale (WPA2 e password complessa o quantomeno cambiare le porte standard di accesso ai terminali) e prevedere una VPN in caso di accesso da remoto;
  • impostare un livello adeguato di sicurezza per i server aziendali, permettendo ad esempio ad un numero molto ristretto di persone autorizzate ad accedervi, adottando una policy delle password specifica, backup ed aggiornamenti periodici, nonché prevedendo un’adeguata politica di gestione della sicurezza fisica dei locali “critici”;
  • elevare la sicurezza dei siti web gestiti, possibilmente attraverso l’adozione del protocollo TLS, limitando il numero di porte per applicazione installata (in caso di connessione HTTPS, il traffico IP in entrata dovrebbe passare attraverso la sola porta 443, tutte le altre andrebbero chiuse), limitando gli account di tipo “administrator” e in caso di gestione di cookie non tecnici (anonimizzati) o funzionalità che prevedono l’utilizzo di dati personali, fornire debita informativa all’interessato e richiedere il consenso al trattamento;
  • garantire la cosiddetta business continuity e predisporre un’adeguata politica di archiviazione dei dati trattati, sia da un punto di vista di sicurezza elettronica sia da un punto di vista di sicurezza fisica in risposta agli incidenti possibili nel contesto aziendale di riferimento;
  • prevedere adeguate misure di garanzia in caso di coinvolgimento di terze parti nelle attività di trattamento, a partire da accordi contrattuali specifici, fino ad includere misure di codifica in caso di scambio tra le parti di informazioni personali o protocolli che permettano di garantire confidenzialità ed autenticità delle informazioni scambiate (ad esempio, SFTP, HTTPS);
  • utilizzare laddove possibile tecniche di encryption dei dati, attraverso algoritmi riconosciuti, tra cui ad esempio gli SHA-256, SHA-512 o SHA-341 per l’hash function;
  • adottare il principio di privacy-by-design ogni qual volta vi è uno sviluppo software, in quanto è necessario agire sull’architettura dello stesso sin dalle primissime fasi, per evitare ad esempio la presenza di zone di commento od inserimento libero, tenendo in considerazione il principio di minimizzazione dei dati, evitando l’utilizzo di dati personali in fase di test.

Un processo continuo di adeguamento ai principi di protezione dati

Infine, preme ricordare che quando ci si appresta a valutare cosa è meglio per l’organizzazione in termini di sicurezza dei dati trattati, il D.lgs. 101/18 contiene specificità (ad esempio per quanto riguarda le categorie particolari di dati di cui all’art.9 del GDPR) e futuri aggiornamenti (ad esempio per quanto riguarda le autorizzazioni generali) da tenere in considerazione nei prossimi mesi.

Il processo continuo di adeguamento ai principi di protezione dei dati personali è ormai fatto noto del GDPR, altrettanto dovrà esserlo per le misure di sicurezza: pertanto, la valutazione del rischio e l’individuazione dei cosiddetti rimedi dovrà essere un processo che l’organizzazione dovrà strutturare come “continuo”, passibile cioè di modifiche e adattamenti nel tempo. Attenersi a tale previsione può ad esempio concretizzarsi attraverso l’adozione di un processo di audit periodico, che segua l’evoluzione dell’azienda nel tempo e ne delinei i futuri e specifici aggiustamenti in termini di sicurezza privacy, un cosiddetto action plan che dovrà essere vagliato e seguito dalla struttura apicale dell’organizzazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5