Il regolamento europeo dedica alla problematica delle misure di sicurezza vari articoli, anche in considerazione dell'accresciuta sensibilità alla pericolosità delle varie forme di trattamento dei dati personali.
Principio di sicurezza e accountability
Col regolamento europeo si evidenzia che l'incombenza di dover individuare le misure di sicurezza più adeguate diventa attività del titolare del trattamento, fermo restando ovviamente l'intervento ex post dell'Autorità di controllo in sede di verifica o sanzionatoria. Per questo motivo col GDPR si è avuta anche l'abrogazione dell'allegato B al Codice Privacy, ovvero il disciplinare tecnico sull'adozione delle misure minime di sicurezza. Sarà quindi il titolare a valutare le misure adeguate e proporzionate alle attività di trattamento espletate. Anche il principio di responsabilizzazione (accountability) entra nel discorso, in quanto, pur non essendo una misura di sicurezza in sé, è sempre un principio base intorno al quale deve essere costruita qualsiasi politica di sicurezza dei dati. Il principio di sicurezza prevede l'obbligo di riservatezza, integrità e disponibilità dei dati.
L'art. 5, par. 1, lett. f), stabilisce che i dati personali devono essere "trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)". È importante notare che è l'intero trattamento a dover essere sicuro, non solo i dati come prodotto finale. Ciò comporta anche che le valutazioni di sicurezza vanno sviluppate per ogni tipo di trattamento. Inoltre, sicurezza del trattamento vuol dire non solo attuare delle adeguate misure, ma anche verificarne costantemente l'efficienza e l'efficacia.
L'art. 32, invece, fissa alcuni principi fondamentali. In particolare le misure di sicurezza devono essere approntate tenendo conto dei seguenti criteri:
1. lo stato dell’arte;
2. i costi di attuazione (delle misure di sicurezza, ma occorre tenere conto che tali misure tutelano anche dati non personali, quindi vanno considerate come un investimento dell’Azienda e non solo un costo di compliance);
3. la natura, l’oggetto, il contesto e le finalità del trattamento e
4. il rischio di varia probabilità e gravità di compressione o violazione dei diritti e delle libertà delle persone fisiche.
Le misure di sicurezza, quindi, devono essere adeguate, imponendo non un'obbligazione di risultato, bensì un'obbligazione di mezzi, in modo che siano ragionevolmente soddisfacenti alla luce delle conoscenze e delle prassi.
In tale quadro si aggiunge la Direttiva NIS che impone obblighi di sicurezza per determinate categorie di servizi.
La sicurezza non riguarda solo l'aspetto informatico del trattamento, ma anche l'aspetto organizzativo, a coprire eventi quali la sottrazione o la perdita di documenti. Le misure di sicurezza, quindi devono garantire che:
- i dati possano essere consultati, modificati, divulgati o cancellati solo dalle persone autorizzate a farlo (e che tali persone agiscono solo nell'ambito dell'autorità che gli viene concessa);
- i dati trattati siano accurati e completi in relazione al motivo per cui li stai elaborando;
- i dati rimangano accessibili e utilizzabili, cioè, in caso di perdita, modifica o distruzione accidentale, si deve essere in grado di recuperarli e prevenire danni alle persone interessate, predisponendo un opportuno piano di continuità operativa.
In tal senso, ad esempio, il Garante spagnolo (AEPD PS/00480/2020) ha ritenuto che inviare email a più persone senza utilizzare la funzione "copia nascosta" configuri una violazione delle misure di sicurezza del trattamento.
La predisposizione delle misure di sicurezza richiede la conoscenza da parte del titolare dell’architettura informatica dell'azienda e del luogo e dei supporti su cui sono custoditi i dati personali, informazione senza la quale è probabile che le misure implementate risultino inadeguate. Tale conoscenza, che può apparire ovvia, non è purtroppo scontata, in particolar modo in organizzazioni complesse, dove può accadere che dispositivi informatici accesi o servizi attivi vengano “dimenticati” per lunghi periodi di tempo, oppure che l'organizzazione dei dispositivi sia realizzata nel tempo stratificandola senza tenere realmente conto di come viene attuata.
Le misure di sicurezza si dividono in due categorie: misure organizzative e misure tecniche, che, sempre secondo l'art. 32, comprendono, tra le altre:
- misura tecnica -> a) la pseudonimizzazione e la cifratura dei dati personali;
- requisiti di sicurezza -> b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Quindi, riassumendo, il GDPR prevede sostanzialmente queste misure di sicurezza:
- implementare le misure tecniche e organizzative per mettere in sicurezza i dati;
- tenere un registro dei data breach;
- condurre una Valutazione di impatto per i trattamenti che la richiedono;
- informare gli interessati del data breach, se sussiste un alto rischio per loro.
Si tratta a tutti gli effetti di misure di cybersecurity.
Analisi del rischio
Il regolamento europeo ha un approccio basato sulla valutazione del rischio piuttosto che sulla protezione dell'utente. Per cui occorre una corretta analisi dei rischi del trattamento dei dati personali per poter implementare le misure di sicurezza adeguate. Per ogni rischio occorre individuare la probabilità dell'evento, nonché la gravità dello stesso, in modo da stabilire le misure di sicurezza adeguate per mitigare il rischio. Un esempio classico riguarda la dismissione delle stampanti con memoria, senza aver provveduto a cancellare la memoria, e quindi con l'astratta possibilità che un terzo possa acquisire le immagini ottiche degli ultimi documenti stampati o scansionati.
Codici di condotta e certificazioni
Sempre in base all'art. 32, "l’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo".
Cioè gli organismi rappresentanti di categorie o le associazioni di aziende possono elaborare dei codici di condotta che aiutino i titolari ad applicare correttamente il regolamento europeo. In tal modo, quindi, gli oneri per le imprese vengono semplificati. Il titolare, infatti, con risparmio di spesa, si limiterà ad adottare il codice di condotta senza dover elaborare le misure organizzative e di sicurezza. I codici di condotta sono, quindi, delle misure di garanzia, che vengono sottoposte all'approvazione delle autorità di controllo nazionali, incaricate di vigilare sull'attuazione dei medesimi codici. Ovviamente il titolare, e il responsabile se nominato, dovranno tenersi sempre aggiornati sulla disponibilità e l'evoluzione dei codici di condotta.
Analogamente, l'adozione di processi di trattamento certificati può essere utilizzata a dimostrazione del concreto impegno da parte del titolare nell'attuazione del regolamento.
Sia i codici di condotta che le certificazioni non esimono i titolari da responsabilità, ma sicuramente possono essere degli elementi di valutazione nel momento in cui si debba stabilire la quantità di responsabilità e quindi il risarcimento del danno (art. 83 lett. J GDPR).
Misure di tipo organizzativo
Politiche e procedure: l’organizzazione deve definire le politiche, che riguardino il trattamento di dati personali, come parte della più generale politica sulla sicurezza delle informazioni trattate. La politica di sicurezza deve come minimo comprendere i seguenti aspetti:
- i ruoli e le responsabilità delle persone fisiche coinvolte;
- le misure tecniche ed organizzative adottate per la sicurezza dei dati personali;
- il nome e ruolo del responsabile del trattamento dei dati e di altri soggetti terzi, comunque coinvolti nel trattamento di dati personali.
Ruoli e responsabilità
Tutte le persone fisiche dell’organizzazione, che hanno accesso a dati personali, debbano essere opportunamente responsabilizzate, ricevendo specifiche istruzioni e debbano operare su una base di need to know, in fase di accesso ai dati personali (gestione degli accessi).
Gestione degli accessi
La regola di base è che ogni soggetto deve accedere al minimo numero di dati necessari per poter svolgere la mansione affidata. Questa regola di base deve essere attuata nel definire i livelli di accesso.
Gestione delle risorse informatiche
Un'appropriata gestione dell’hardware e del software rappresenta un aspetto essenziale per la sicurezza dei dati personali, in quanto permette di tenere sotto controllo gli strumenti di trattamento e, quindi, controllare anche l’attuazione delle misure organizzative e tecniche. La gestione delle risorse prevede, come minimo, un'analitica registrazione delle risorse informatiche, almeno per quanto riguarda quelle dedicate al trattamento di dati personali.
Gestione delle modifiche e degli aggiornamenti del sistema informativo
L’organizzazione deve accertarsi che tutte le modifiche del sistema informativo vengano registrate e controllate da un soggetto specifico, ad esempio il responsabile della sicurezza informatica. L’utilizzo di applicazioni non aggiornate o obsolete costituisce senza ombra di dubbio una violazione delle misure di sicurezza. Alla scoperta di vulnerabilità di un'applicazione segue il rilascio di aggiornamenti. Il mancato aggiornamento rende il sistema vulnerabile, non solo perché esiste la vulnerabilità dell’applicativo, ma soprattutto perché tale vulnerabilità diventa di dominio pubblico e quindi sfruttabile da un gran numero di malintenzionati.
Altro pericolo deriva dalle applicazioni obsolete. Al termine del ciclo di vita di un'applicazione, questa non viene più aggiornata e presenta vulnerabilità di vario genere che non vengono più corrette. A meno che non vi siano sviluppatori interni all’azienda in grado di correggere tali vulnerabilità, cosa dispendiosa e complessa, il rischio di compromissione di un sistema IT sarebbe incrementato, perciò, anche l’utilizzo di applicazioni obsolete è idoneo a configurare una violazione dei criteri di sicurezza del trattamento dei dati personali.
Il continuo aggiornamento delle applicazioni costituisce una misura di sicurezza idonea a correggere vulnerabilità di volta in volta rese note al pubblico e corrette dagli sviluppatori. In aggiunta alla regolare installazione di patch e aggiornamenti, può essere opportuno implementare una procedura di tipo organizzativo che permetta di verificare il regolare e corretto svolgimento di tali operazioni.
Gestione degli incidenti/violazione di dati personali
Deve essere definito un piano di risposta ad un possibile incidente, con procedure analitiche, per garantire un'efficace e tempestiva risposta ad incidenti che coinvolgano dati personali. Il piano di risposta ad un incidente deve essere documentato e deve includere una lista di possibili azioni in grado di mitigare le conseguenze dell’incidente, nonché una chiara attribuzione dei ruoli dei soggetti coinvolti.
Continuità operativa
L'organizzazione deve definire il piano di continuità della gestione operativa, al fine di determinare i processi e le misure tecniche che l’organizzazione deve seguire, a fronte di un incidente o una violazione dei dati. Tale piano pertanto rappresenta un complemento della politica di sicurezza dell’organizzazione, insieme ad un piano di risposta ad un incidente. L'art. 32 del regolamento, infatti, pone in carico al titolare ed al responsabile il compito di ripristinare la disponibilità all’accesso ai dati personali in maniera tempestiva, a fronte di un incidente fisico o tecnico.
Misure di riservatezza
L’organizzazione deve accertarsi che tutti i dipendenti e collaboratori comprendano le loro responsabilità ed i loro obblighi, in relazione al trattamento di dati personali. Ruoli e responsabilità devono essere chiaramente comunicati durante la fase di addestramento, precedente alla fase di accesso ai dati personali. I dipendenti e collaboratori coinvolti in trattamenti di dati personali ad alto rischio devono essere legati da specifiche clausole di riservatezza.
Formazione
L’organizzazione deve informare tutti i dipendenti e collaboratori circa i controlli di sicurezza dei sistemi informativi, che fanno riferimento alla loro operatività quotidiana. Inoltre, deve avere dei programmi strutturati e regolari di addestramento per tutto il personale, compresi programmi specifici per l'introduzione alle modalità sicure di trattamento dei dati per i nuovi assunti o nuovi collaboratori.
Misure di tipo tecnico
Deve essere attuato un sistema di controllo accessi applicabile a tutti gli utenti che hanno accesso al sistema informativo. Il sistema deve consentire la creazione, l’approvazione, la verifica e la cancellazione dei privilegi degli utenti. Deve essere installato un meccanismo di autentica, in modo da consentire l’accesso al sistema informativo, basato sulla politica di controllo accessi.
Con riferimento agli utenti interni all’organizzazione, l’autenticazione presuppone che ciascun utente di un sistema sia dotato di un proprio account individuale, specialmente quando tale utente abbia responsabilità aziendali particolari. In tal modo è possibile verificare univocamente l’identità del soggetto, così riconducendo a lui con certezza le azioni compiute all’interno del sistema, facilitando il rispetto del principio di accountability. La connessione fra autenticazione e accountability è stata sottolineata dal Garante italiano, per il quale “la condivisione delle credenziali impedisce di attribuire le azioni compiute in un sistema informatico a un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l’operato di figure tecniche così rilevanti” (provvedimento 4/4/2019). In conseguenza “l’avvenuta condivisione delle credenziali di autenticazione tra più soggetti legittimati alla gestione della piattaforma rappresenta una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate”. Tale adempimento è, d’altra parte, incluso negli standard di sicurezza pubblicati dalle organizzazioni internazionali più prestigiose, e non richiede alcun costo aggiuntivo.
In caso di accesso dall’esterno, occorre che l’utente sia autenticato in modo corretto. Un’errata o mancata configurazione di un’applicazione permetterebbe a terzi non autorizzati (o peggio ancora al pubblico) di prendere conoscenza di dati riservati. L’accesso di terzi non autorizzati a dati personali contenuti in aree clienti riservate costituisce secondo il CNIL francese una violazione grave della sicurezza in quanto astrattamente sfruttabile da qualunque persona, anche non esperta in informatica.
I meccanismi di autenticazione possono essere vari: password, smart card, certificati digitali, tecniche biometriche, ecc. Devono comunque essere oggetto di specifiche politiche di generazione, utilizzo, custodia, aggiornamento e distruzione. Ad esempio, occorre impartire precise istruzioni agli autorizzati al trattamento affinché adottino le necessarie cautele per assicurare la segretezza delle loro credenziali e la sicurezza dei dispositivi necessari per l’autenticazione. Ancora, occorre prevedere delle procedure per la sostituzione degli incaricati nel caso di prolungata assenza o impedimento, al fine di assicurare la disponibilità di un particolare trattamento di dati. E così via.
- Autorizzazione degli utenti
L’assegnazione di account individuali o l’autenticazione di un utente costituisce solo una prima misura di sicurezza, che deve essere naturalmente seguita dall’individuazione delle categorie di dati accessibili dagli account rilevanti, e, dunque, dalle autorizzazioni assegnate. La necessità di prevedere autorizzazioni specifiche (quantomeno interne ad un’organizzazione) emerge implicitamente dall’articolo 29 GDPR, ai sensi del quale chi agisce sotto l’autorità del titolare o del responsabile non può trattare dati personali se non è istruito in tal senso. Tale misura di sicurezza consente di restringere l’accesso ai soli dati essenziali per i quali viene effettuato l’accesso, ed è importante quanto l’autenticazione, in quanto quest’ultima sarebbe inutile se tutti gli utenti fossero autorizzati ad accedere a tutti i dati, circostanza che, secondo la CNIL, costituisce una violazione dell’art. 32 del GDPR. In maniera similare, secondo il Garante italiano, la mancata implementazione di sistemi di autorizzazione integra la violazione dell’articolo 5(1)(f) del GDPR.
A livello informatico, l’autorizzazione all’accesso a dati viene di regola impostata sulla base dell’appartenenza di un utente ad un determinato gruppo, ma altre tecniche possono essere implementate, come ad esempio la restrizione di accesso al di fuori di determinati orari. I profili di autorizzazione devono definire in dettaglio tutte le azioni consentite. Le definizioni dei profili devono essere verificate periodicamente e comunque almeno una volta l’anno.
Registrazione e monitoraggio
L'utilizzo, la conservazione e l'analisi dei file di log rappresentano una misura di sicurezza essenziale, che permette l’identificazione ed il tracciamento delle azioni degli incaricati/autorizzati, che hanno accesso al trattamento di dati personali. È così possibile individuare precise responsabilità in caso di rivelazioni non autorizzate, modifica o distruzione di dati personali. Il monitoraggio dei file di log è importante anche per identificare possibili tentativi interni o esterni di violazione del sistema.
Sicurezza dei dati archiviati
Quando un dato, dopo il trattamento attivo, deve essere conservato, deve anche essere adeguatamente protetto. La prima misura di sicurezza può essere certamente l’implementazione e il rispetto di una data retention policy, poiché eliminando i dati non più necessari da un sistema si riduce il rischio di violazioni. Ma anche i dati personali archiviati e non attivamente utilizzati dovrebbero essere cifrati. Ad esempio, secondo l’autorità danese (provvedimento del 10 marzo 2020), l’assenza di cifratura di un hard disk di un computer portatile che contiene dati personali costituisce una vulnerabilità che permette una facile violazione di dati. Tale misura è sempre prescritta (e la sua assenza sanzionata) dalle autorità di controllo per quanto riguarda credenziali e password o dati identificativi. Infine, la protezione dei dati con sistemi di cifratura è richiesta laddove il dato personale, per sua natura, sia particolarmente sensibile.
Conservazione e condivisione dei dati
Un’altra categoria di vulnerabilità riguarda la conservazione e la condivisione dei dati. Nonostante esista una grandissima varietà di misure di sicurezza implementabili per proteggere i dati, come ad esempio la pseudonimizzazione o la cifratura, che sono espressamente citate dall’articolo 32(1)(a) del GDPR, per motivi pratici o tecnici non sempre è possibile implementarle o garantire il massimo livello di sicurezza possibile. Come ad esempio nel caso della cifratura asimmetrica che richiede una notevole potenza di calcolo che mal si presta all’invio di dati di grande quantità. Non dimentichiamo che la tecnica di protezione dei dati dovrebbe essere adeguata al trattamento dei dati che viene effettuato.
La protezione dei dati trattati attivamente
I dati trattati attivamente da un’azienda non possono essere né pseudonimizzati né cifrati (essendo necessario utilizzarli), ma devono spesso essere disponibili “in chiaro”. In tali casi le misure di sicurezza sono per lo più relative all’accesso ai dati. Per questo motivo la maggior parte delle decisioni delle autorità si focalizzano sulla sicurezza dei dati in trasmissione o archiviazione.
La protezione dei dati trasmessi a terzi
Il dato che viene trasmesso a terzi può essere intercettato, il dato condiviso può subire una violazione di confidenzialità. Benché ormai la maggior parte delle comunicazioni via Internet avvenga tramite modalità criptate, esistono ancora servizi che non prevedono la cifratura dei dati, come ad esempio il protocollo http, il quale ovviamente “non garantisce una comunicazione sicura sia in termini di riservatezza e integrità dei dati scambiati che di autenticità del sito web visualizzato”. Pertanto il Garante (provvedimento del 23 gennaio 2020) ha stabilito che “il mancato utilizzo di strumenti di crittografia per il trasporto dei dati si pone in contrasto con l’articolo 32 del Regolamento”. Tale argomento si applica, ovviamente, anche alle email. L’utilizzo di protocolli di cifratura, come il protocollo TLS e la cifratura end-to-end delle email in trasmissione, costituisce, quindi, una misura di sicurezza adeguata ai sensi dell’articolo 32 del GDPR.
