Quali sono le misure idonee a garantire la sicurezza dei dati in linea con il GDPR? Una soluzione completa abbina l’articolo 32 del Regolamento europeo allo standard ISO/IEC 27001. Infatti, nell’atto di scrivere l’articolo 32 del GDPR il legislatore europeo indirizza alcuni adempimenti che titolari e responsabili dovrebbero concretamente disporre ed attuare, sul piano tecnico ed organizzativo, allo scopo di garantire un adeguato livello di sicurezza. Tuttavia, nel rubricare la sicurezza del trattamento manca però di suggerire ed indicare, in modo specifico, le adeguate misure da porre in essere e, quindi, d’indirizzarne chiaramente la realizzazione delle stesse.
Quanto viene rilevato, ha lo scopo non tanto di rilevare le lacune da attribuire al legislatore europeo, quanto invece di trattare più concretamente ed analizzare gli strumenti attraverso i quali, individuare le scelte adeguate e le misure idonee di sicurezza e dimostrarne la corretta applicabilità delle stesse. Lo standard ISO/IEC 27001 con le sue specificità ISMS (Information Security Management Systems) rappresenta il sistema applicabile ed in linea con gli scopi indicati.
Indice degli argomenti
Lo standard ISO/IEC 27001:2017
La norma standard UNI EN ISO/IEC 27001:2017 (versione pubblicata il 30 marzo) definisce il sistema di best practice utili per sviluppare la capacità delle aziende di gestire i rischi legati alla protezione dei dati; ricomprende un numero di misure predefinite ed implementabili, così come richiesto nel GDPR, pur ponendosi obiettivi più ampi rispetto al Regolamento europeo. In quanto standard internazionale per la sicurezza delle informazioni nasce, infatti, con lo scopo di definire i requisiti per stabilire, implementare e migliorare il sistema di gestione delle informazioni di qualsiasi organizzazione. Quanto introdotto dalle due normative, finisce per comporre un inedito modello di riferimento per le organizzazioni e ciò che andiamo definendo prende forma proprio attraverso l’art. 32.
I concetti introdotti del GDPR nell’articolo, più specificatamente nel comma 1, sono riconducibili a quanto viene definito in ambito di Information Security. Infatti, laddove il legislatore si riferisce alla “capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (sud. b) ed ancora a quella “di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico” (sub. c) finisce per richiamare il cosiddetto “R.I.D.”, ben noto in ambito ISO 27001. Tale acronimo esprime e declina le seguenti proprietà: riservatezza, integrità, disponibilità – di seguito meglio, rispettivamente, come proprietà d’informazioni che non siano rese disponibili o divulgate a soggetti, entità o persone non autorizzate; dell’accuratezza e della completezza dei beni; dell’accessibilità e utilizzabilità su richiesta di un’entità autorizzata.
Le misure tecniche citate
Per inquadrare le categorie di misure tecniche e organizzative citate dal GDPR, dovremmo classificare ed inquadrare almeno tre tipologie di misure: quelle finalizzate a garantire la sicurezza organizzativa (vedi i processi interni e policy per i processi gestionali e del mantenimento della sicurezza, le procedure di data breach), quelle che riguardano la sicurezza logica e tecnologica (ambito software e degli strumenti della information technology, dei sistemi di autenticazione, antimalware, firewall, backup, monitoraggi, scansioni delle vulnerabilità, aggiornamenti dei sistemi), quelle relativi alla sicurezza fisica (si pensi, in particolare, alla sicurezza dei locali, degli edifici, degli archivi, ma anche alle misure antincendio/antifurto, ai controlli degli accessi e alla sicurezza ambientale). L’obiettivo del complesso delle misure poste dallo standard ISO 27001 ricade proprio in questi ambiti e volge ad assicurare, su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento dei dati.
È poi cruciale considerare che il GDPR raccomanda l’uso di schemi di certificazione (comma 3, conformità ai requisiti di cui al par. 1 art. 32 – ma anche ai sensi degli artt. 24, considerando 3 e 28, considerando 5 e 42) allo scopo di fornire la necessaria garanzia, in relazione alla efficace gestione dei rischi relativi alla sicurezza dei dati da parte del titolare e responsabile. Sulla base di ciò, potremmo attribuire l’adesione ai codici di condotta e alla certificazione dello standard ISO 27001 e, attraverso lo stesso, dare una valenza dimostrativa della conformità, in osservanza del principio di responsabilizzazione (accountability). L’adozione dello standard di certificazione, implica l’applicazione e la gestione di controlli che, a fronte di una valutazione delle minacce, mira a garantire continuità ed il successo del business, riducendo al minimo le conseguenze degli incidenti sulla sicurezza delle informazioni. Presuppone l’analisi delle lacune esistenti in materia di sicurezza delle informazioni ed una fase progettuale di miglioramento e di implementazione dei controlli di sicurezza. Nella fattispecie, l’attuazione del sistema di gestione della sicurezza della norma ISO 27002 aggiunta, consiglia e suggerisce le pratiche di condotta da adottare nei controlli di sicurezza previsti dalla ISO 27001.
Il registro di misure Annex A
Resta inteso che la certificazione ISO 27001 non svincola automaticamente i responsabili e le responsabilità per le violazioni di dati, e non abbatte in via definitiva il rischio che si verifichino eventi dannosi relativi alla sicurezza dei dati. Essa attenua – senza dubbio – le possibilità di accadimento e, conseguentemente, le relative responsabilità per coloro che trattano i dati e le informazioni. In tal senso, siamo proiettati nell’ambito della gestione dei rischi relativi alla sicurezza di dati e delle informazioni con concetti specifici di risk management. Nella fattispecie, del risk-based approach e delle basi decisionali attraverso le quali determinare azioni e misure da adottare. Lo standard si configura, infatti, come criterio guida nelle gestione dei rischi relativi alle operazioni di trattamento ed aggiunge un livello più specifico di “obiettivi di controlli e controlli”, attraverso il cosiddetto Annex A che li include.
Quest’ultimo si configura come un registro di misure da adottare per contrastare e/o mitigare i rischi di perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati. Si articola in base ai “controlli” che coprono alcune delle diverse aree (cosiddetti macrocontrolli) di seguito citate: dalle politiche per la sicurezza delle informazioni, alla gestione delle risorse, dalla sicurezza fisica a quella ambientale, dal controllo degli accessi alla sicurezza delle operazioni e delle comunicazioni, fino alla gestione degli incidenti relativi alla sicurezza delle informazioni e all’organizzazione della sicurezza delle informazioni.
Conclusioni
È auspicabile che il catalogo delle misure adottate/da adottare per il contrasto e la mitigazione dei rischi (perdita, modifica e divulgazione o accesso ai dati non autorizzato) possa ispirare l’implementazione nell’ambito dell’organizzazione di strumenti tarati alla specificità e l’applicabilità dell’ambito GDPR.
Risulterebbe senz’altro utile, poter raccogliere e catalogare gli obiettivi necessari per l’attuazione delle politiche di sicurezza delle informazioni, la gestione delle risorse, la sicurezza fisica e ambientale, il controllo degli accessi, la sicurezza delle operazioni e delle comunicazioni entro il contesto normativo fin qui descritto. Si tratterebbe di definire, perciò, un modello inedito da considerare nell’applicazione delle normative GDPR e ISO 27001 che stiamo appunto associando al binomio quanto meno insolubile e di lunga vita.
