Nell’epoca attuale della interconnessione costante a viaggiare non sono solo i dati e le informazioni ma anche le collaborazioni tra aziende che, per stare al passo delle tecnologie, hanno dovuto specializzarsi e diventare parti di filiere produttive sempre più ampie. Ecco, quindi la necessità di trasferire informazioni, molte volte anche di elevato valore intrinseco, a società ed interlocutori terzi che diventano “gestori” dei nostri dati e come tali possono rappresentare una seria minaccia per gli stessi. Nasce quindi la necessità di controllare l’intera filiera informativa e adottare metodologie di controllo sull’operato di coloro che grazie al GDPR abbiamo ormai imparato a chiamare “Responsabili del trattamento”. La messa in sicurezza della filiera informativa può essere inserita sotto l’ampia gamma della famiglia degli assessment aziendali.
Assessement: cos’è?
Sotto il termine assessment troviamo una varietà di processi aziendali volti alla valutazione del personale per individuare l’insieme delle caratteristiche comportamentali, delle attitudini, delle capacità e competenze individuali proprie di ogni risorsa.
Nel campo delle risorse umane possiamo avere svariate declinazioni come assessment di gruppo e assessment individuali. Inoltre, si può fare una differenziazione più dettagliata, a seconda che si tratti di un assessment per la selezione, per lo sviluppo professionale o per l’analisi dello status quo.
Se invece consideriamo questo termine in riferimento al mondo della sicurezza aziendale, possiamo affermare che, l’ottenimento del vulnerability assessment si ottiene da una serie di passaggi come:
- Internal assessment: audit interno con un ruolo fondamentale nell’aiutare le organizzazioni nella battaglia sulla gestione delle minacce informatiche, sia fornendo una valutazione indipendente dai controlli esistenti e necessari, sia aiutando il comitato di audit e il consiglio a comprendere e affrontare i diversi rischi del mondo digitale;
- Social engineeering: una valutazione di ingegneria sociale è uno strumento molto prezioso per comprendere l’esposizione alla sicurezza della maggior parte delle organizzazioni. Poiché gli esseri umani tendono ad essere l’anello più debole in qualsiasi strategia di sicurezza, questo lavoro può identificare rapidamente quali aree devono essere analizzate nel modo più tempestivo;
- Wireless assessment: proteggere le vie di comunicazione wireless attraverso dei protocolli predeterminati aiuta senza dubbio a non lasciare falle nel sistema e permette una maggiore resilienza tecnica verso l’esterno;
- Physical security assessment: una valutazione del rischio per la sicurezza fisica è una valutazione di ogni aspetto del sistema di sicurezza. Questa valutazione è condotta da un professionista della sicurezza che include un inventario delle risorse da proteggere, nonché raccomandazioni su come proteggerle al meglio;
- Application and database: le vulnerabilità di un software vengono anche definite bug software; sono letteralmente mal funzionamenti e errori di scrittura del software. Una vulnerabilità software può presentarsi all’interno del codice, in una configurazione e persino nel processo di installazione. Ogni azione che viene compiuta dal software verso l’esterno e verso l’interno può dare vita ad una vulnerabilità;
- External assessment: una valutazione della vulnerabilità esterna e un test di penetrazione possono identificare come un attaccante possa causare danni ai sistemi IT dall’esterno della rete; il monitoraggio della sicurezza esterna, inclusi i dispositivi perimetrali, server, applicazioni e tecnologie di crittografia, possono prendere di mira tutto ciò che è accessibile da Internet per potenziali vulnerabilità della sicurezza.
Assessement: quale tipo?
Tra tutti i tipi di assessment indicati ci concentreremo su un particolare aspetto dell’ultimo citato. Come possiamo controllare aspetti che sono fuori dalla nostra organizzazione ma che per interdipendenza e necessità diventano invasivi della nostra realtà?
Tra i tanti elementi che si possono considerare per poter effettuare un controllo coerente dobbiamo sicuramente concentrare la nostra attenzione verso tutti coloro che utilizzano i nostri dati e che possono diventare una reale vulnerabilità.
Come definito dal GDPR il responsabile del trattamento (art. 4) è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento.
Tale figura è di tutt’altra rilevanza rispetto al passato in quanto il responsabile assume nell’ambito del Regolamento una connotazione quasi professionale.
Infatti, dice la norma (art. 28) che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”. Quindi non deve essere scelta una persona fisica o giuridica qualsiasi, ma chi possiede determinate competenze e possa offrire determinate garanzie di sicurezza ed efficienza in merito alla trattamento dei dati personali ossia “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4, punto 2 del GDPR).
L’articolo 28 (3) (h) è uno dei requisiti contrattuali tra il Titolare e il Responsabile:
[il responsabile dovrebbe] “mettere a disposizione del responsabile del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consentire e contribuire agli audit, comprese le ispezioni, condotti dal responsabile del trattamento o da un altro revisore incaricato dal responsabile del trattamento”.
Questo specifico requisito contrattuale sembra essere interpretato in molti modi. Alcuni accordi sul trattamento dei dati hanno questa clausola ma includono un elemento di costo (di solito il costo per il Titolare del trattamento), altri hanno stabilito che forniranno prove se e quando necessario per altri non sembra esserci alcun approccio coerente.
Per alcuni responsabili, i Titolari applicano rigorosamente questi termini, stabilendo ad esempio che:
- il responsabile deve svolgere audit annuali
- alcuni stabilendo lo standard di audit richiesto;
nel complesso, questa sembra essere una clausola implementata nei contratti tra titolari e responsabili del trattamento e non molto di più e non abbiamo ed è raro che si applichino effettivamente queste parti del contratto.
Controlli per responsabile del trattamento
Ma se dovessimo approcciare un controllo sui responsabili del trattamento come potremmo impostare la procedura da attuare?
È possibile predisporre una sorta di check list per gestire un ipotetico audit considerando tre aree d’indagine:
- dati personali e modalità del trattamento
- misure organizzative
- misure tecniche
Dati personali e modalità del trattamento
Possiamo definirle come tutte le informazioni che identificano o rendono identificabile una persona, e che al contempo possono fornire dettagli specifici in merito alle sue abitudini, al suo stile di vita, alle sue caratteristiche, al suo stato di salute, alla sua situazione economica e persino alle sue relazioni interpersonali.
I dati identificativi personali: perché permettono l’identificazione diretta di una persona. Tipici dati identificativi sono il nome e cognome, ma anche l’immagine di un volto.
I dati particolari o sensibili: perché rivelano specifiche caratteristiche personali di un individuo, come l’etnia, le convinzioni religiose e politiche, l’adesione a partiti, sindacati o associazioni, lo stato di salute e persino la vita sessuale.
I dati giudiziari: perché rivelano l’esistenza di determinati provvedimenti giudiziari soggetti a iscrizione nello specifico casellario come, ad esempio, ai provvedimenti di condanna, alla liberazione condizionale, ai divieti o agli obblighi di soggiorno.
Esistono poi altri tipi di dati che per rilevanza richiedono una Dpia ossia una valutazione d’impatto così come indicato dagli artt. 35, par. 4, e 57, par. 1, lett. k), del GDPR fermo restando quanto indicato nel richiamato WP 248, rev. 01, individua l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto, riportate nell’allegato 1 facente parte integrante del presente provvedimento, che specificano quanto riportato nel citato WP 248, rev. 01.
Per trattamento dei dati personali secondo la legge italiana, si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati.
Quindi il primo passaggio da compiere è quello di capire quali dati abbiamo da proteggere e quali dati concediamo al responsabile del trattamento in questione.
Misure organizzative
Il responsabile del trattamento deve implementare misure tecniche e organizzative adeguate a garantire e dimostrare che l’elaborazione dei dati viene eseguita in conformità al Regolamento GDPR.
Il GDRP richiede anche che le attività svolte dal responsabile siano regolate da un contratto o un altro atto giuridico in cui siano definiti, tra l’altro, la natura e le finalità del trattamento, le misure di sicurezza adottate, i diritti e gli obblighi delle parti.
In conformità a quanto previsto dal GDRP, tutte le volte in cui il responsabile non si limita a fornire una soluzione tecnologica, ma effettua per conto del cliente operazioni di trattamento dei dati, assume il ruolo di responsabile del trattamento e, in quanto tale, è tenuta ad assicurare che i dati del cliente siano trattati nel rispetto delle misure di sicurezza previste.
Se volessimo fare un esempio di possibili domande, per analizzare le misure organizzative da inserire nell’audit, potremmo immaginare queste indicate di seguito:
- Tutto il personale autorizzato è stato appositamente nominato per il trattamento ricevendo le istruzioni di cui al presente Atto di Nomina?
- Esiste un registro delle attività di trattamento dei dati personali? In caso di risposta positiva, viene regolarmente aggiornato?
- È stata verificata (ed è verificata almeno con cadenza annuale) l’adeguatezza delle misure tecniche e organizzative di ogni eventuale Sub-Responsabile tramite la compilazione della presente Checklist di Conformità al momento dell’attribuzione dell’incarico, e con cadenza annuale?
Misure tecniche
Nel processo di costruzione e adeguamento aziendale in ambito GDPR è fondamentale la fase di analisi dei rischi che incombono sui dati, in quanto, è sulla base della valutazione del potenziale accadimento e livello di gravità che vanno adottate le misure di sicurezza a garanzia e disponibilità dei dati.
È necessario, quindi, descrivere i principali eventi potenzialmente dannosi per la sicurezza dei dati e valutarne le possibili conseguenze e la gravità, in relazione al contesto fisico-ambientale di riferimento ed agli strumenti elettronici che vengono utilizzati per il trattamento.
Il titolare del trattamento deve cercare di ridurre al minimo, con idonee e preventive misure di sicurezza i rischi di distruzione o perdita, anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.
Ma i possibili rischi che gravano sui dati (direttamente o indirettamente, se riferiti alle strutture mediante le quali si procede al trattamento) sono numerosi e quindi sono difficilmente catalogabili.
Partendo dall’art. 32 del Regolamento Generale per la Protezione dei Dati, si osserva che gli obblighi per il responsabile del trattamento, nonché i requisiti necessari per trattare dati personali sono attuati tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio che comprendono, tra le altre, se del caso:
1. la pseudonimizzazione e la cifratura dei dati personali;
2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Le misure di sicurezza applicate devono essere: efficaci, effettive, monitorate e controllate periodicamente, valutate in modo oggettivo, mantenendo evidenze dell’attività eseguita.
Se anche in questo caso volessimo fare un esempio di possibili domande, per analizzare le misure tecniche da inserire nell’audit, potremmo immaginare queste indicate di seguito:
- Esistono delle misure tecniche che consentono la restituzione dei dati personali al Titolare, a richiesta della stessa e/o alla cessazione dell’Atto di Nomina a Responsabile del Trattamento?
- Esistono delle misure tecniche che consentono l’accesso ai dati personali unicamente al personale autorizzato che deve accedervi per eseguire le attività previste nell’Atto di Nomina a Responsabile del Trattamento?
- Esistono altre procedure tecniche periodiche che vengono eseguite per verificare l’adeguatezza delle misure di sicurezza volte a proteggere l’accesso ai dati personali?
Naturalmente le domande devono essere conformate in base all’entità della supply chain aziendale e al livello di sicurezza e responsabilità che è necessario attribuire alle aziende partner del trattamento tenendo sempre a mente che anche in questo caso le regole possono essere dettate dal titolare del trattamento che rimane sempre, scusandoci per il gioco di parole, responsabile delle scelte attuate anche nei confronti di responsabili poco “affidabili”.