Negli ultimi anni vi è stata una evoluzione nelle normative che regolamentano anche gli aspetti di sicurezza in ambito ICT. Si è passati da una visione impositiva in merito alle misure di sicurezza da adottare ad una responsabilizzazione dei soggetti, chiamati a rispettare la normativa, nella individuazione di quali siano le misure più idonee alla loro specifica situazione.
Gli esempi relativi al passaggio da una visione prescrittiva delle misure di sicurezza ad una responsabilizzazione nella loro scelta da parte di quanti sono tenuti a implementarle sono numerosi e probabilmente, il più noto, non fosse altro che per la immensa platea a cui si rivolge è costituito dal GDPR.
Se infatti la versione pre GDPR del Codice in materia di protezione dei dati personali normava in una serie di articoli (31 – 36) ed in un allegato tecnico (l’allegato B, ora abrogato) una precisa serie di misure di sicurezza che i Titolari erano obbligati ad implementare (con conseguenze penali in caso di inadempienza), nel GDPR, ed in particolare nell’articolo 32 (ma non solo), viene chiesto ai Titolari di effettuare una valutazione di quali misure di sicurezza adottare successivamente ad una analisi dei rischi sui diritti e libertà delle persone fisiche.
Articolo 32 – Sicurezza del trattamento (C83)
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti
e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: …
Il tutto è espresso a dire il vero, in una forma un po’ criptica per chi non è del mestiere, tanto e vero che l’obbligo di effettuare questa (e altre) analisi dei rischi è per lo più ignorato e si confonde tale adempimento con la valutazione di impatto richiesta dall’articolo 35 (Valutazione d’impatto sulla protezione dei dati) sempre del GDPR.
In effetti non è così intuitivo che il tenendo conto …del rischio di varia probabilità e gravità, significa che è necessario effettuare un’analisi dei rischi (combinazione di probabilità di accadimento di un evento avverso, della probabilità che l’evento produca un danno e dell’impatto).
E non è nemmeno così intuitivo che la richiesta di effettuare tale valutazione è perentoria, costituendo quindi un obbligo al quale il Titolare o il Responsabile non possono sottrarsi. Come vedremo questa stessa formulazione riguarderà anche altri aspetti ed è utilizzata in particolare negli articoli 24.
Articolo 24 – Responsabilità del titolare del trattamento (C74-C78)
1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78)
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
In particolare, l’articolo 25 esprime, sempre in forma un po’ criptica (ma al riguardo è utile consultare le specifiche Linee guida dell’EDPB) quello che è l’ambito per il quale è necessario adottare, a cura del Titolare, adeguate misure tecniche ed organizzative.
L’articolo cita espressamente la minimizzazione, ma riguarda più in generale i principi.
Quali sono gli altri principi di protezione dati che devono essere attuati ai quali fa riferimento l’art. 25? L’articolo del GDPR che descrive in modo esplicito e completo i principi è l’art. 5 Principi applicabili al trattamento di dati personali, che così recita:
1. I dati personali sono: (C39)
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Fra i principi compaiono alla lettera f) l’integrità e la riservatezza, come componente della sicurezza dei dati personali.
Ecco, quindi, un altro articolo che fa espresso riferimento alla sicurezza e su come essere conformi al GDPR rispetto a questo aspetto.
Evidenzio che mentre nell’art. 32.1 si fa riferimento ai diritti e libertà delle persone fisiche come oggetto di tutela (il reale oggetto di tutela del GDPR, come previsto dall’art. 1 del GDPR stesso), l’articolo 5.1.f è più specificatamente dedicato ai soli dati personali (riprendendo in parte l’approccio del vecchio Codice).
Anche in questo caso l’analisi del rischio e le relative misure tecniche ed organizzative sono obbligatorie e non altrimenti definite.
Anche in questo caso si sarà conformi solo se si sarà sicuri (perlomeno per i principi previsti dall’articolo 5.1.f ).
È fuori tema, ma lo evidenzio, che il rispetto di tutti gli altri principi elencati dall’art. 5.1 trascende le semplici misure di sicurezza, ma richiede l’adozione di altre misure, capaci ad esempio di garantire la qualità dei dati.
Si tratta di misure particolarmente impegnative, anche se per nulla innovative in quanto già richieste dalla precedente normativa (anche se non specificatamente sanzionati in caso di mancata implementazione e pertanto per lo più disattese).
In sintesi, quello che si desume da questo nuovo approccio nell’ambito della tutela della protezione dei dati personali (o meglio dei diritti e libertà delle persone fisiche) è che si è passati da una prospettiva che prevedeva che un trattamento fosse sicuro se era conforme (rispettava cioè le puntuali misure previste dalla normativa), ad una in cui si è conformi se si è sicuri.
Questo tipo di approccio è comune a molte delle più recenti normative in ambito europeo e sicuramente ha dei vantaggi quali il fatto di mantenere la normativa scollegata sia dalle evoluzioni delle minacce, sia dalla evoluzione delle misure di sicurezza.
Nondimeno tale approccio ha anche dei limiti; l’assenza di alcun punto di riferimento può costituire un problema sia per il soggetto che deve decidere in merito a quali siano le misure adeguate, sia per chi deve verificare la conformità alla norma.
Il GDPR prescrive solo un paio di misure di sicurezza obbligatorie, la 32.4 relativa all’attività di istruzione dei soggetti autorizzati al trattamento dei dati
Articolo 32 – Sicurezza del trattamento (C83)
…
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
e la 25.2, nella parte dedicata alla minimizzazione dei soggetti che hanno accesso ai dati.
Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78)
…
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Per quanto attiene altre misure di sicurezza eventualmente implementabili, l’art. 32.1 si limita a darne una breve elencazione, non esaustiva e per nulla obbligatoria:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
In assenza di punti di riferimento, qualunque contestazione effettuata da un soggetto esterno, come ad esempio un ente preposto alla verifica del rispetto da parte di un Titolare in merito alla sua conformità ai requisiti del GDPR potrebbe essere in realtà oggetto di contestazione.
Rispetto a una situazione oggettivamente non facile da gestire, quali sono gli strumenti di cui può avvalersi un Titolare per essere sicuro (e quindi conforme)?
Prima di tutto il ricorso a quanto proposto direttamente dalle Autorità Garanti.
Il CNIL, l’AEPD e anche la nostra Autorità propongono sia direttamente, sia indirettamente, metodologie sia per la valutazione del rischio (in particolare la nostra Autorità rimanda alla metodologia proposta da ENISA), sia raccolte di misure di sicurezza che è possibile adottare.
Ma è in particolare la metodologia di ENISA che può agevolare il lavoro del Titolare.
Tale metodologia ha infatti il grosso vantaggio di offrire un approccio molto semplice alla valutazione del rischio, ma soprattutto di proporre, in funzione del livello di rischio individuato, un elenco di misure di sicurezza per contrastarlo.
È evidente che in questo caso, essendo la metodologia di ENISA ufficialmente riconosciuta dalle Autorità Garanti, si ha la massima confidenza in merito alla propria conformità se si adottano le misure suggerite.
Esiste anche un’altra possibilità per avere qualche indicazione su cosa sia opportuno implementare per essere considerati conformi, e cioè esaminare quelle che sono le prescrizioni che le Autorità Garanti hanno riportato nei loro provvedimenti sanzionatori relativamente alle misure di sicurezza.
Ovviamente sarà necessario in questo caso ricondurre alla propria situazione quanto disposto dall’Autorità.
Da ultimo può essere utile consultare anche quanto prodotto da enti di ricerca o associazioni, quali ad esempio i rapporti dell’Osservatorio del Politecnico di Milano nell’ambito della protezione dei dati e cybersecurity.
Autore: Giancarlo Butti
