Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ADEMPIMENTI PRIVACY

Policy per la gestione dei dati personali all’interno di piattaforme informatiche: una formalizzazione

Una policy per la gestione dei dati personali all’interno di piattaforme informatiche consente al titolare del trattamento di perseguire un percorso di accountability e sicurezza informatica necessario per formalizzare un corretto utilizzo dei dati ed evitare il rischio di perdita o alterazione degli stessi. Ecco una possibile formalizzazione

05 Nov 2019
J
Gianluca Jesu

Privacy Officer di Regione Lombardia e Data Protection Officer di Arexpo


La formalizzazione di una policy per la gestione dei dati personali all’interno di piattaforme informatiche è un aspetto che non può essere sottovalutato, anche in virtù del fatto che il tema della sicurezza informatica appare un aspetto sempre più meritevole di attenzione e riflessione con particolare riferimento alla possibile interconnessione di più sistemi informatizzati e al considerevole aumento dei servizi Internet.

L’incremento dei dispositivi e dei servizi offerti dalla Rete deve necessariamente costringere ogni titolare del trattamento, sia pubblico che privato, a prestare una specifica attenzione sulla sicurezza del dato e alla costante proliferazione degli stessi dati all’interno di canali telematici e informatici per evitare il rischio di perdita, alterazione degli stessi.

Consigli di accountability per il titolare del trattamento

Il titolare deve, preventivamente alla messa in servizio o implementazione di piattaforme tecnologiche, valutare gli aspetti di carattere organizzativo e tecnico legati all’utilizzo del sistema e della possibile interconnessione dello stesso con altre basi di sistemi o reti informatiche al fine di regolare e formalizzare un corretto utilizzo dei dati presenti.

Se esaminiamo dei casi concreti e probabili all’interno di un’azienda, appare chiaro il percorso di accountability e di sicurezza informatica che il titolare deve perseguire.

La realizzazione e la progettazione, a titolo esemplificativo, di una piattaforma informatica che possa tracciare e registrare gli accessi di fornitori/concessionari di spazi ad un determinato luogo/sito di proprietà del titolare per molteplici finalità (rapporto di lavoro, rapporti di concessione spazi, appalti) deve necessariamente prevedere un approccio in questa direzione con la definizione di una policy che detti in modo chiaro le regole di carattere organizzativo e tecniche di accesso da parte di soggetti esterni al luogo/sito di proprietà del titolare.

Nella fattispecie in oggetto, il titolare del sito/luogo a cui accedono diversi soggetti dovrà, all’interno della policy, definire in modo chiaro le finalità, i ruoli dei soggetti aventi accesso al suddetto sito e le regole di utilizzo della piattaforma informatica.

Gli utilizzatori dovranno essere adeguatamente istruiti e responsabilizzati dal titolare all’utilizzo del sistema informatico prevedendo limiti, regole e modalità precise per evitare rischi di perdite di dati.

Il ruolo chiave dell’amministratore di sistema

Resta vivo il ruolo e la figura dell’amministratore di sistema in questo panorama così complesso dove il presidio del corretto utilizzo dei dati tramite sistemi informatizzati deve essere controllato in modo più capillare.

Il provvedimento dell’Autorità Garante del 2008 non appare, alla luce dell’entrata in vigore della nuova normativa, superato anzi assume luce più cristallina per il ruolo e l’importanza dell’amministratore di sistema nel presidio e controllo dei sistemi anche per quanto riguarda la verifica e la necessità delle profilazioni degli utenti.

L’art.32 del GDPR (Regolamento UE 2016/679) indica la previsione da parte del titolare di misure organizzative e tecniche al fine di garantire la sicurezza del trattamento e di misure cosiddette adeguate non meglio specificate. Tali misure possono e devono necessariamente tradursi nella formalizzazione di una policy di sicurezza e security policy che indichi in modo chiaro quali debbano essere i comportamenti tenuti dal dipendente per contrastare i rischi informatici.

La sfida più importante per ogni titolare deve però essere quella di controllare e gestire in modo più sicuro ogni singola piattaforma informatica che consenta l’accesso a soggetti interni ed esterni. La definizione di regole precise e molto chiare di utilizzo dei sistemi appare l’unica via percorribile dal titolare anche al fine di contrastare e ridurre in modo concreto e significativo i rischi di un utilizzo scorretto e improprio dei dati presenti nel sistema.

Policy per la gestione dei dati personali all’interno di piattaforme informatiche: gli elementi

Partendo da questi principi essenziali proviamo a costruire e definire gli elementi portanti che definiscono l’impalcatura di una policy per la corretta gestione dei dati presenti all’interno di piattaforme informatiche:

  1. prevedere ed individuare i principali controlli di sicurezza che dovranno essere valutati in sede di progettazione e implementazione di trattamenti informatizzati;
  2. prevedere una gestione più capillare e consapevole dei rapporti con i fornitori e soggetti esterni coinvolti nei trattamenti informatici;
  3. provvedere alla diffusione all’interno dell’azienda delle misure sulla protezione dei dati al fine di innalzare il livello di conoscenza e consapevolezza da parte di tutti gli incaricati.

La previsione e attuazione dei suddetti principi dovrebbe essere una buona base di partenza per garantire una corretta applicazione delle misure tecniche ed organizzative per la gestione di piattaforma informatiche.

In tale contesto la previsione di una progettazione ben definita del trattamento deve indirizzarsi verso una disamina dei seguenti elementi:

  1. sicurezza delle attività del trattamento presente sulla piattaforma;
  2. gestione degli accessi degli utenti e degli asset;
  3. gestione della data retention e dei file log;
  4. gestione delle terze parti;
  5. gestione della comunicazione delle informazioni;
  6. gestione del dato e dell’eventualità di provvedere alla pseudonimizzazione e crittografia.

La progettazione e valutazione preliminare di tutti questi elementi risponde in modo puntuale al principio di accountability e permette al titolare di considerare diversi fattori che possono interagire nella gestione del dato informatizzato.

La pseudonimizzazione dei dati

Partendo dall’analisi del trattamento e della tipologia dei dati deve essere fatta una valutazione dei principi di necessità e minimizzazione del dato al fine di prevedere all’interno della piattaforma la visibilità del solo dato necessario alla finalità del sistema rendendo pseudoanonimi i dati non necessari e non proporzionali alla finalità del trattamento.

Il principio della minimizzazione e dell’indispensabilità del dato è strettamente correlato alla pseudonimizzazione che deve essere necessariamente valutata nel caso in cui vengano trattati ad esempio i dati particolari. In questo caso, la policy deve prevedere un’attenta disamina della tipologia del dato,della finalità e della necessità della visualizzazione in chiaro dello stesso.

La pseudonimizzazione, o in alternativa l’utilizzo di strumenti crittografici quali l’hash, risponde a determinati criteri finalizzati a garantire la proprietà del dato, l’integrità, la riservatezza, la correttezza, la limitazione della finalità e la sua correttezza.

Il rispetto della molteplicità di questi elementi fornisce l’elemento aggiuntivo a quel dato che può essere nelle mani del titolare o dello stesso interessato cosi come indicato e previsto dall’art.11 del Regolamento UE 2016/679. Il rispetto del principio di minimizzazione del dato può in alcuni casi tradursi nell’utilizzo di un numero di dati maggiori cosi come indicato dalle Linee Guida dell’European Data protection Board su questa tematica.

Nell’ambito del rispetto dell’accountability il titolare dovrà partire dalla scelta del dato e della sua minimizzazione per poter costruire una policy solida e inattaccabile su cui saldare in modo granulare i diversi mattoni che andiamo ora ad esaminare.

Il controllo degli accessi

Il tema del controllo degli accessi appare strettamente collegato al precedente in quanto un’attenta politica del controllo degli accessi contrasta in modo efficace la minaccia di accessi non autorizzati.

Il compito del titolare deve tradursi in un’attenta valutazione delle classi di utenti a cui rilasciare il privilegio di accesso distinguendo in modo accurato il ruolo degli utenti interni all’azienda da quelli esterni (siano cittadini o fornitori o altri soggetti che a diverso titolo agiscono in qualità di titolari autonomi o responsabili).

In questo contesto la registrazione, profilazione o autorizzazione dell’utente dovrà essere concordata da parte della struttura ICT del titolare anche con il supporto del fornitore nel caso in cui la manutenzione e controllo della piattaforma veda coinvolto questo soggetto.

Le regole di profilazione e registrazione devono rispondere a criteri di sicurezza standard o laddove necessario di strong authentication per sistemi informatizzati con presenza di dati particolari o particolarmente sensibili.

La sicurezza dell’attività del trattamento non si deve limitare ad una previsione di criteri di accesso sicuri per gli utenti ma si deve spingere oltre prevedendo misure che possano ad esempio contrastare attacchi esterni (ad esempio virus) o attacchi da componenti web o componenti tecnologiche o ancora più da attacchi da componenti da sistemi operativi o applicazioni.

La gestione degli asset

Procedendo in modo sistematico e accurato alla costruzione di una policy idonea al trattamento dati presenti sui sistemi informatizzati, appare necessario analizzare la gestione degli asset (hardware e software) utilizzati per il trattamento al fine di contrastare in modo efficace e adeguato l’eventualità di furto di dati e accessi abusivi e illegali di virus informatici.

In questo contesto la tenuta di un elenco aggiornato degli asset e l’eventuale progettazione e implementazione dei sistemi operativi risponde in modo idoneo a tale esigenza. La tenuta di elenchi appare uno strumento efficace e immediato per il trasferimento di tali informazioni relative ad asset all’interno di una policy.

Parallelamente alla tenuta degli asset appare opportuna la tenuta dei log degli accessi da parte degli utenti alla piattaforma informatica al fine di prevenire eventi anomali o attacchi esterni o manomissione di dati personali presenti sui sistemi informatizzati.

La sicurezza della comunicazioni appare un elemento non meno importante in tale contesto, in quanto l’indisponibilità, l’alterazione e la non integrità del dato sono minacce concrete e reali alla corretta gestione e comunicazione del dato all’interno ed esterno della piattaforma.

Per tale motivo appare opportuna la formalizzazione di protocolli di comunicazione di canali sicuri delle informazioni e dei dati presenti oltre alla verifica e controllo di tali canali

Non vi è alcun dubbio che la costruzione di una buona policy non possa prescindere da un’analisi della data retention e dei tempi di conservazione.

Il titolare dovrò definire quali dati debbano essere cancellati, per quanto tempo debbano essere conservati e le modalità di cancellazione degli stessi.

L’analisi deve partire da una verifica e tipologia delle informazioni raccolte e trattate al fine di comprendere quali delle stesse debbano essere conservate e quali cancellate rendendo coerente l’aspetto operativo con le regole informatiche e le eventuali misure di deindicizzazione del dato dalla rete.

Gestione dei rapporti con le terze parti

Un’altra componente essenziale all’interno della policy deve essere una corretta gestione del rapporto con le terze parti ed in particolar modo con i fornitori/responsabili che a diverso titolo utilizzano la piattaforma, Un presidio costante e mirato del rapporto con i fornitori/responsabili mitiga certamente i rischi di utilizzi impropri o anomali del sistema, di accessi non autorizzati o di intercettazione di dati o software non autorizzati.

Il principale strumento di accountability in quest’ottica appare la costruzione di un atto di nomina a responsabile del trattamento ai sensi dell’art.28 del Regolamento Ue 2016/679, che risponda in modo puntuale alle esigenze di tutela e protezione dei dati del titolare presenti sul sistema informatizzato. La definizione di regole stringenti e molto chiare da parte del titolare è lo strumento principale per dirimere eventuali contenziosi e responsabilizzare il fornitore ad un corretto utilizzo dei dati.

A supporto di una corretta stesura dell’atto di nomina a responsabile intervengono elementi quali:

  1. modelli di accordi e clausole di riservatezza alla non divulgazione dei dati;
  2. definizione di procedure di audit chiare e di verifiche periodiche;
  3. definizione di regole contrattuali inattaccabili in caso di violazione dei dati personali (data breach)
  4. previsione di regole codificate e chiare in caso di nomina di sub-responsabili.

Si tratta di esempi e indicazioni che devono essere necessariamente presenti al momento della sottoscrizione dell’accordo/contratto tra titolare e fornitore/responsabile al fine dio renderlo inattaccabile anche di fronte a possibili contenziosi.

Conclusioni

Tutti gli elementi esaminati devono ragionevolmente essere presenti al momento di una formalizzazione di una policy che preveda la gestione di dati informatizzati ma possono non essere esaustivi e completi per la specificità e la peculiarità della piattaforma e per la diversità degli attori (titolari o responsabili) che accedono alla stessa anche in ragione della finalità dei dati trattati.

Il titolare deve ragionevolmente valutare con estremo scrupolo la finalità precipua del trattamento e, laddove sia presente una finalità ultronea o ulteriore, valutare in base al principio di liceità di cui all’art.6 del GDPR se il trattamento possa rispondere a una delle casistiche di cui al citato articolo.

La definizione da parte del titolare di una policy completa e strutturata oltre a garantire un elevato livello di affidabilità all’esterno tutela in modo molto evidente lo stesso nei confronti degli utenti e terze parti ed appare il percorso più trasparente per gestire in modo sicuro il dato presente su piattaforme informatiche.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5