Verifica dei responsabili del trattamento: modalità operative - Cyber Security 360

ADEMPIMENTI PRIVACY

Verifica dei responsabili del trattamento: modalità operative

Nel percorso di adeguamento al GDPR, la verifica dei responsabili del trattamento rappresenta una fase molto importante e delicata in quanto consente di valutare la loro conformità e quella della loro filiera di fornitura. Ecco un case history per realizzare un processo di mappatura e analisi della compliance al Regolamento UE

11 Dic 2020
S
Manuel Angelo Salvi

DPO GRC Team

Chi si occupa di data protection sa bene quanto l’applicazione del GDPR possa essere complessa, soprattutto in alcuni aspetti di adeguamento normativo come ad esempio la verifica di conformità dei responsabili del trattamento.

Analizzando un caso reale di adeguamento normativo di una grande azienda italiana, proviamo dunque ad individuare quali sono le modalità operative per realizzare un processo di mappatura e analisi della compliance al Regolamento europeo 2016/679.

I tre anelli deboli nella catena di responsabilità del GDPR

Ho sempre pensato che la catena di responsabilità del GDPR avesse tre anelli deboli, che possono mettere a repentaglio il sistema di gestione della protezione dei dati in qualsiasi organizzazione.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza

Il primo anello debole è quello che oltreoceano chiamano Human Factor e, in una bellissima vignetta, si vede un ring ove si combatte la “sfida alla cyber security”. In un angolo vi sono firewall, antivirus, complesse apparecchiature per la protezione della sicurezza digitale dell’organizzazione; nell’altro angolo c’è Dave, un trasandato impiegato qualunque, dall’aria poco sveglia.

La vignetta sintetizza un dato inquietante rappresentato in termini percentuali da IBM, secondo cui il 24% degli incidenti totali hanno come causa principale l’errore umano. Dato che sale al 90% secondo CybSafe e l’ICO (Garante UK) relativamente al panorama d’oltremanica.

Il secondo anello debole è rappresentato dalla dipendenza europea da tech company americane o extra UE, dalla complessità del quadro normativo ulteriormente ingarbugliato dalla Sentenza Schrems II e dalla difficile identificazione e allocazione dei dati digitali come sottolineato da EDPS nell’Investigation contro Microsoft, dove in estrema sintesi, analizzando gli accordi di licenza di Microsoft, lo stesso Garante europeo non era riuscito ad avere una piena e chiara comprensione di quali e quanti metadati rimanessero in capo a Microsoft Ireland e quali fossero gestiti direttamente da Microsoft Corporation (USA).

Il terzo anello debole infine sono i processor, cioè i responsabili del trattamento e la loro filiera di fornitura.

Una corretta selezione dei responsabili del trattamento

I responsabili del trattamento dovrebbero essere selezionati anche relativamente alla loro capacità di essere conformi al GDPR, ma questa non è sempre la principale preoccupazione degli uffici acquisti.

I processor, al pari di qualsiasi organizzazione, debbono garantire l’applicazione del GDPR. Anche loro, infatti, debbono cimentarsi nel rispetto dei numerosi elementi formali e sostanziali introdotti dal Regolamento europeo 679/2016.

Secondo l’articolo 28, il titolare ne è pienamente responsabile e dovrebbe quindi premunirsi di verificare puntualmente che la conformità del responsabile del trattamento selezionato sia piena ed efficace.

Alzi la mano chi è certo della conformità dei propri responsabili del trattamento.

I responsabili del trattamento al pari del titolare del trattamento che li ha nominati, soffrono anch’esse dei i tre anelli deboli poc’anzi citati, anche loro sono soggetti a involontari errori umani, anch’essi utilizzano tech company extra UE (es: i server virtuali in Bielorussia sono estremamente economici; le software house indiane sfornano codice a prezzi irrisori), anch’essi hanno a loro volta fornitori dai quali dipendo per tutta una serie di trattamenti.

Ancora una volta, alzi la mano chi è certo della conformità di tutti i sub-fornitori dei propri fornitori.

Una grande holding italiana operante in svariati settori e quotata a Piazza Affari, di cui non posso fare il nome, si è posta il problema, stante l’immane danno d’immagine che potrebbe ricevere qualora un data breach la colpisse, anche lungo la propria filiera di fornitura, e ci ha chiesto di strutturare un progetto di mappatura e analisi a doc.

Verifica dei responsabili del trattamento: la mappatura

La primissima attività è stata quella di definire il perimetro d’indagine.

Trattandosi di una holding con numerose società controllate dislocate sull’intero territorio nazionale, è stato necessario capire quanti e quali fossero i soggetti che avremmo dovuto analizzare.

Definito l’universo di società che compongo la holding, abbiamo identificato le reciproche responsabilità, non solo in termini di responsabili del trattamento ma anche di “titolari autonomi”, “contitolari” e “destinatari”.

Particolarmente oneroso è stato redimere il nodo dei destinatari, talvolta non correttamente gestiti o talvolta gestiti alla stregua di una categoria residuale da usarsi alla bisogna, qualora non si abbia ben chiaro quale altro ruolo affibbiare loro.

La verifica, pur partendo dal registro di trattamento, è stata condotta nell’ottica di rilevare possibili lacune e difformità fra il registro stesso e la realtà dei fatti, portando quindi a una sua puntuale rettifica.

I responsabili esterni individuati sono stati circa 700.

La prima immediata attività, che ci ha creato una certa preoccupazione, è stata la gestione dei soggetti extra UE, per i quali abbiamo predisposto un percorso separato. Una valutazione preliminare ha infatti dimostrato l’idoneità della documentazione in essere e abbiamo così concentrato il team legale sulla redazione della documentazione mancante, stante le recenti decisioni relative alla Sentenza Schrems II.

Per quanto riguarda i responsabili del trattamento nazionali o comunque interni allo spazio UE, abbiamo proceduto come pianificato. Siamo passati alla lettura delle DPA (Data Protection Agreement) stipulate per verificarne la coerenza, individuare eventuali errori di merito (es: fornitori che non fanno trattamento dati) e/o sostanza.

Questo enorme lavoro di back office e di revisione contrattuale ci ha permesso di accertarci di una sostanziale correttezza formale dei documenti, anche se sono stati individuati:

  • alcuni grossolani errori di attribuzione dei ruoli:
  1. soggetti nominati formalmente responsabili del trattamento pur non avendone le caratteristiche;
  2. responsabili del trattamento che avevano annegato nelle condizioni generali di erogazione del servizio lacunose autonomine a processor, poi superficialmente firmate;
  • in alcuni casi lacunose descrizioni dei trattamenti e dei dati trattati all’interno delle DPA.

Verificato e aggiornato l’intero sistema documentale e formale, siamo quindi passati alla fase successiva di verifica dei responsabili del trattamento.

Verifica dei responsabili del trattamento: individuazione dei rischi

Questa seconda fase è servita, in particolare, a pianificare i carichi di lavoro.

In conformità anche con le richieste del titolare del trattamento relative anche all’effort complessivo abbiamo creato tre cluster di rischio (alto, medio, basso).

Sulla base dei documenti analizzati, abbiamo assegnato dei valori di rischio su nove diversi parametri.

I parametri erano fra gli altri la presenza di dati particolari, la larga scala del trattamento, la presenza di trattamenti automatizzati o semi automatizzati, lo scoring o la profilazione, il monitoraggio sistemico.

La difficoltà principale di questa seconda fase è stata prima definire il metro di calcolo e poi garantire omogeneità di giudizio fra i diversi valutatori, impegnati nello scoring di ben 1.100 organizzazioni fra cui vi erano soggetti dalle dimensioni considerevoli, realtà private o a partecipazione pubblica, italiane ma anche straniere, operanti nei più svariati settori e soprattutto con diverse sensibilità al tema del GDPR.

Verifica dei responsabili del trattamento: modalità operative

Posizionati i responsabili del trattamento nei tre cluster di rischio abbiamo pianificato le modalità operative d’intervento.

Abbiamo predisposto una checklist estremamente articolata, che si compone di oltre 300 domande.

A titolo esemplificativo, fra le domande previste per il referente IT vi è: “Adottate sistemi di avviso in caso di trasferimento di grandi quantità di dati personali?”. La risposta affermativa per questa domanda è stata considerata necessaria per il cluster di rischio alto e facoltativa per gli altri.

Per il referente GDPR abbiamo chiesto: “Avete una Retention Policy?” oppure “Esiste un Organigramma Privacy?”. In questo caso abbiamo preteso la risposta affermativa per tutti i cluster, chiedendo di porvi rimedio qualora ne fossero stati sprovvisti.

In modo analogo abbiamo predisposto:

  • un elenco di misure di sicurezza tecniche e organizzative (minime e consigliate) per ogni cluster;
  • un elenco di garanzie contrattuali appropriate che i responsabili debbano fornire, sempre in relazione al livello di rischio;
  • un elenco delle evidenze per dimostrare l’adozione delle misure necessarie richieste.

Come sono stati svolti gli audit

Per contenere da una parte l’effort del titolare del trattamento, essendo il numero dei responsabili del trattamento significativo, e dall’altra per non gravare eccessivamente sugli stessi processor, si è deciso di svolgere gli audit con tre modalità diverse, una per ogni cluster.

Per il cluster a rischio basso è stata spedita la checklist semplificata. In sostanza alcuni elementi ritenuti non indispensabili sono stati decurtati dalla stessa.

Per il cluster a rischio medio è stato svolto un audit in modalità da remoto mentre per i cluster a rischio alto è stato svolto un audit in presenza.

Gli audit in presenza non sono sempre stati svolti nella loro interezza e in qualche caso sono stati trasformati cammin facendo in audit da remoto, a causa dei restringimenti dovuti alle misure di contenimento della pandemia da COVID-19.

La fase di controllo è stata decisamente semplificata dalla predisposizione di una piattaforma in cloud, ove i singoli responsabili del trattamento potevano accedere a un’area riservata personale in provvedere in modalità semplificata a una serie di verifiche e ove caricare le evidenze richieste.

La presenza dell’applicativo in cloud ha reso più semplice l’attività per i responsabili del trattamento poiché l’area univoca di repository e il sistema di alert automatizzato hanno facilitato l’adempimento dei task e il rispetto delle scadenze.

Anche il team di audit ne ha fortemente giovato, poiché l’attività di caricamento e compilazione è stata in parte delegata ai responsabili del trattamento.

Infine, per ogni responsabile del trattamento è stato redatto un documento di report con evidenza delle non conformità rilevate e/o di eventuali osservazioni.

La verifica della filiera di sub-fornitura

Una delle attività che non si è ancora pienamente completata è la verifica della filiera di sub fornitura.

Le attività predisposte sono state:

  • mappatura della filiera: è stato richiesto a ogni fornitore di fornirci il registro dei fornitori;
  • evidenza delle attività di verifica già espletate o predisposte dai responsabili del trattamento sui loro fornitori, che facciano attività di trattamenti dati.

Verifica dei responsabili del trattamento: piano di miglioramento

Terminati gli audit, in linea con gli adempimenti necessari e previsti dalla normativa, in conformità con le aspettative del titolare del trattamento abbiamo redatto un Remediation Plan, che ha tenuto in considerazione anche le principali lacune emerse in fase di rilevazione.

Fra le attività di miglioramento ci siamo concentrati soprattutto su tre aspetti:

compliance formale: abbiamo preteso dai responsabili del trattamento il pieno adeguamento alle richieste del GDPR e una sostanziale correttezza degli adempimenti formali;

livello minimo di sicurezza: abbiamo preteso alcuni elementi minimi imprescindibili in termini di misure di sicurezza sia tecniche che organizzative. Abbiamo suggerito l’adozione di ulteriori misure soprattutto per i Processor posizionati in cluster di rischio medio e alto;

verifiche filiera sub-fornitura: essendo impossibilitati nei fatti a riverberare il lavoro fin qui descritto sull’intera filiera di sub-fornitura, abbiamo predisposto delle checklist semplificate, chiedendo ad ogni Processor di chiederne debita compilazione ai propri fornitori, qualora un’attività soddisfacente di verifica non fosse già stata effettuata.

Conclusioni

Il lavoro è stato significativo e particolarmente sfidante.

Il peso specifico del titolare del trattamento ha semplificato tutte le fasi dell’attività e probabilmente se fossimo stati una piccola PMI avremmo avuto i nostri grattacapi per recuperare certe informazioni, chiedere talune evidenze o indirizzare i fornitori all’applicativo in cloud dove espletare una serie di adempimenti.

La compresenza nel team di figure legal, ingegneri informatici ed esperti di sistemi di gestione ha generato utili sinergie nell’ottimizzare il lavoro e gestire il processo di verifica dei responsabili del trattamento

Il case history è divenuto un servizio particolarmente apprezzato ed efficace per la reale e piena attuazione del GDPR in tema di Art. 28 e delle incombenze di verifica e garanzia sui propri responsabili del trattamento dati.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4