GDPR

Accountability, data protection e cyber security: un equilibrio da tutelare

Tre principi che devono essere messi nelle condizioni di cooperare, per garantire la più completa e adeguata protezione dei dati: ecco come farli convivere e sfruttarli al meglio

14 Giu 2022
C
Cecilia Colasanti

Data Protection Officer dell’Istituto Nazionale di Statistica

Accountability: tradotto nella versione italiana del Regolamento UE 2016/679 (GDPR) con il termine “responsabilizzazione”, l’originario termine anglosassone risulta essere più pregnante di significato. Infatti, accountability è la fusione dei termini account e ability ossia la capacità di rendere conto, l’abilità di dare spiegazioni.

Nel contesto di riferimento del Regolamento UE 2016/679, il titolare del trattamento deve adempiere ai principi di cui all’art. 5 del Regolamento, sulla base delle sue scelte, ed essere in grado di comprovarlo. Deve poter, cioè, dimostrare di aver adottato, prima di cominciare un trattamento, le migliori misure possibili per tutelare i diritti e le libertà degli interessati, valutando il rischio inerente il trattamento stesso (art. 24 GDPR).

Come si impara la cyber security: ecco le nozioni di base necessarie

Il legame tra accountability e cyber security

Tutelare la privacy, oggi, significa tutelare il diritto degli interessati ad avere il controllo delle proprie informazioni. Siccome la larga parte dell’informazione è digitale, la relazione tra il principio di accountability e la cyber security è strettissima.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO

In concreto, infatti, spesso il titolare del trattamento deve poter comprovare (in quanto è “accountable”) di aver messo in atto tutte le misure di sicurezza (sostanzialmente di sicurezza informatica) per proteggere adeguatamente i dati personali che tratta (art. 32 del Regolamento).

Come considerazione di carattere generale, è importante sottolineare che operare adottando misure di sicurezza tecniche e organizzative adeguate, secondo la normativa vigente e le best practice di settore, è un processo di miglioramento continuo, che va affrontato attraverso analisi predittive per prevenire violazioni.

L’obiettivo, per il titolare del trattamento, deve essere quello di aumentare sistematicamente, e non occasionalmente, la sicurezza dei sistemi e dei processi a supporto dei trattamenti di dati personali, con un approccio basato sul rischio. La sicurezza, in particolare quella informatica, può essere vista come l’attitudine a preservare un oggetto dal “cambiamento”.

Videosorveglianza hackerata: ecco perché il GDPR è un valido strumento di prevenzione

Le tre caratteristiche

Nel caso dell’informazione (digitale), il cambiamento si riferisce a tre caratteristiche: confidenzialità, integrità e disponibilità dei dati. Contrariamente a quanto avvenuto in passato attraverso il disciplinare tecnico in materia di misure minime di sicurezza – D.Lgs. 196/2003 (Allegato B), il Regolamento, in linea con il principio di accountability, non ha un carattere prescrittivo circa le misure di sicurezza da adottare.

Il titolare e il responsabile del trattamento, infatti, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso la pseudonimizzazione e la cifratura dei dati personali; … (art. 32 GDPR).

Una metodologia di supporto al titolare per valutare il livello di rischio relativo alle operazioni di trattamento dei dati personali è quella fornita da ENISA, che consta di quattro fasi:

  1. definizione dell’ambito in cui il trattamento è effettuato. In pratica, bisogna analizzare il tipo di trattamento e i dati personali trattati; lo scopo, i mezzi, il luogo del trattamento; le categorie di interessati; i destinatari dei dati;
  2. comprensione e valutazione degli impatti. Sostanzialmente ci si chiede cosa significhi per le persone una perdita di confidenzialità, integrità e disponibilità dei propri dati personali. L’impatto per gli interessati sarà “basso” se assorbito in breve tempo, causando solo irritazione; “medio” se l’interessato deve compiere una qualche azione per non subire danni; ”alto” se i danni sono irreversibili; “molto alto” se il danno, oltre ad essere irreversibile, è anche persistente nel tempo;
  3. definizione delle possibili minacce e valutazione della loro probabilità di accadimento;
  4. valutazione del rischio, quale prodotto tra la probabilità e l’impatto.

Rispetto a questo ultimo punto, ENISA stessa propone la valutazione rappresentata in figura, in forma di matrice.

C:Usersbruser1729AppDataLocalMicrosoftWindowsINetCacheContent.MSO2B7E16EB.tmp

La differenza tra probabilità e impatto

E’ interessante rilevare come il parametro “impatto” sia più rilevante di quello “probabilità di accadimento”. Ciò è subito evidente guardando i colori della matrice. A fronte, ad esempio, di probabilità bassa e impatto medio, il rischio risulta essere medio, come l’impatto (casella gialla al centro della prima riga).

Mentre a fronte di impatto basso e probabilità media, il rischio risulta essere basso, come l’impatto (casella verde al centro della prima colonna). Da questa differenza di “peso” tra probabilità e impatto deriva anche il fatto che la distribuzione del rischio nella matrice è “sbilanciata” verso l’alto. Su 9 caselle totali, 4 sono infatti rosse, 3 gialle e solo 2 verdi.

Tradotto in concreto, questo per il titolare significa che se il livello di impatto è molto grave anche per una sola persona, esso dovrebbe prestare massima attenzione anche se la probabilità di occorrenza dell’evento avverso è bassa.

Scegliere le misure di sicurezza

A seguito dell’analisi il titolare sceglie le misure di sicurezza da adottare, in base al contesto, per mitigare il rischio rilevato. Il principale riferimento circa le misure di sicurezza che ENISA considera è lo standard ISO 27001:2013. Tuttavia, il titolare può applicare ulteriori specifiche misure di settore e aggiornarle periodicamente, se ritenuto necessario.

Come ciascun titolare prende decisioni per mitigare i rischi e garantire quell’equilibrio tra accountability, protezione dei dati e sicurezza è una delle sfide del nostro tempo.

A dispetto della razionalità del metodo proposto, in un contesto in cui la dipendenza dagli strumenti digitali è sempre più forte e in cui, soprattutto, ciò che è costante non è tanto l’attacco reale, quanto piuttosto la minaccia di essere attaccati, un tassello spesso sottovalutato, che può giocare un ruolo nelle scelte degli strumenti di mitigazione del rischio, è legato al timore costante cui siamo sottoposti, cioè alla sfera emotiva.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5