Come noto la sicurezza nell’informatica equivale ad attuare tutte le misure e tutte le tecniche necessarie per proteggere l’hardware, il software ed i dati dagli accessi non autorizzati (intenzionali o meno), per garantirne la riservatezza, nonché eventuali usi illeciti, dalla divulgazione, modifica e distruzione. Si include, quindi, la sicurezza del cuore del sistema informativo, cioè il centro elettronico dell’elaboratore stesso, dei programmi, dei dati e degli archivi. GDPR “rifonda” le misure minime di sicurezza alla base del sistema di protezione dei dati personali. Rispetto ai limiti del Codice della privacy, dove tali misure si concretizzano in un elenco dettagliato e uguale per tutti (sia per chi tratta pochi dati e sia per chi ne tratta molti), il regolamento europeo cambia approccio, lasciando al titolare del trattamento ampio margine di libertà di scelta in funzione della realtà produttiva nella quale opera. Il nuovo sistema si basa su alcuni principi cardine, ineludibili. I primi tre sono: la necessità di un’analisi del rischio, l’attenzione ai costi da supportare e l’applicazione della nozione di “accountability”. In cosa consistono?

Una delle grandi novità del GDPR è l’aver ripensato completamente al sistema di protezione dei dati che il titolare del trattamento deve progettare e implementare nella sua realtà produttiva. I vent’anni precedenti, in base alle regole contenute nella Direttiva 95/46, ci avevano abituato all’idea, innanzitutto, delle misure minime di sicurezza.

I limiti del vecchio Codice della privacy

Le misure minime di sicurezza, contenute nell’Allegato B al Codice Privacy del 2003, prendono la forma di un elenco molto dettagliato di misure, tecniche e comportamenti che il Legislatore ha ritenuto che potessero, se rispettate, garantire appunto un livello minimo di sicurezza in qualsiasi ambiente.

Il grosso limite di simili elenchi di misure minime è facilmente individuabile anche dal non esperto: sono uguali per tutti, per chi tratta pochi dati e per chi ne tratta molti, per chi tratta dati delicatissimi e per chi, invece, tratta dati comuni. Al contempo, per piccole realtà commerciali può essere molto costoso rispettare tutte le misure minime elencate.

E le soluzioni del GDPR

Il Regolamento europeo ha eliminato la nozione di misure minime e ha lasciato un amplissimo margine di libertà al titolare di scegliere quali possano essere le misure di sicurezza adeguate in base al tipo di trattamenti effettuati e di dati trattati. Da un lato, quindi, il titolare non è più vincolato a un elenco di misure; dall’altro, però, sono previste sanzioni molto più alte nel caso in cui, in questo quadro di libertà, il titolare ne approfitti per non proteggere le informazioni e per non rispettare le regole.

I cardini del nuovo sistema

Questo nuovo sistema si basa su alcuni principi cardine che sono ineludibili. I primi tre sono, certamente,

– la necessità di un’analisi del rischio

– la stretta connessione con la migliore tecnica e i costi da supportare

– la comprensione e l’applicazione costante della nozione di “accountability”.

Analisi del rischio

Il primo punto, la necessità di un’analisi del rischio, è molto lineare da comprendere: se non vengono fornite regole specifiche, occorre, prima di scegliere come operare, analizzare i rischi reali che i dati che si trattano, e gli interessati a loro riferiti, possono soffrire. In questo caso, occorre rappresentarsi prima tutti i rischi possibili – che variano molto a seconda del “peso” del dato che viene trattato – e da quella analisi si prendono le mosse per predisporre un insieme di misure adeguate di sicurezza.

L’analisi del rischio può essere un procedimento estremamente semplice o, al contrario, particolarmente complesso in quanto è strettamente legato ai tipi di dati che sono trattati, alla molteplicità (o meno) di trattamenti e ai rischi che corrono gli interessati in caso di attacco alle loro informazioni. Realtà che trattano dati ad alto rischio (cliniche, ospedali, laboratori medici) dovranno fare un’analisi estremamente curata e specifica; realtà che, invece, trattano soprattutto dati comuni, avranno ovviamente analisi del rischio più semplici da completare.

Commisurazione alla “forza commerciale”

Il secondo punto, l’attenzione ai costi e allo stato dell’arte della tecnica, è altrettanto interessante.

Il Regolamento, in più punti, ribadisce che tutto il sistema di protezione dei dati disegnato dal provvedimento europeo deve sempre tenere presente i costi (ossia la capacità che ha un’azienda o un ente di investire denaro per la compliance) e i migliori strumenti tecnici e informatici disponibili sul mercato. Tutti gli sforzi per proteggere i dati non devono arrivare a minare l’economia e i bilanci dell’azienda, ma devono sempre essere accuratamente calibrati con la realtà economica effettiva.

Per la prima volta, quindi, si specifica che ogni azione per la protezione dei dati debba essere commisurata alla “forza commerciale” e alla capacità di investire della singola realtà. Questo porterà un vantaggio soprattutto in quelle realtà che hanno budget limitati.

Principio della accountability art. 22

Infine, tutto il sistema deve essere visto sotto due aspetti, al fine di rispettare anche il principio della accountability:  non solo gli adempimenti devono esser concretamente svolti (“sostanza”) ma tutto ciò che viene fatto deve essere anche formalmente verificabile (“verificabilità”), sia dall’interno, sia da eventuali operazioni di auditing esterno. Ciò comporta la necessità di tenere traccia di qualsiasi operazione effettuata in un’ottica di protezione dei dati, al fine di poter ripercorrere in maniera obiettiva, in ogni momento, il percorso seguito e di valutare i risultati.

L’Articolo 32 del GDPR, infine, è quello più importante con riferimento all’implementazione di misure di sicurezza vere e proprie e intese nel senso stringente del termine.

Questa norma stabilisce come, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento debbano mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Riguardo l’aspetto “sicurezza” connesso alla rete telematica (contro la minaccia “cibernetica”) essa può essere considerata una disciplina mediante la quale ogni organizzazione che possiede un insieme di beni, cerca di proteggerne il valore adottando misure che contrastino il verificarsi di eventi accidentali o intenzionali che possano produrre un danneggiamento parziale o totale dei beni stessi o una violazione dei diritti ad essi associati. Un bene può essere un’informazione, un servizio, una risorsa hardware o software e può avere diversi modi possibili di interazione con un soggetto (persona o processo). Se, ad esempio, il bene è un’informazione, ha senso considerare la lettura e la scrittura (intesa anche come modifica e cancellazione); se invece il bene è un servizio, l’interazione consiste nella fruizione delle funzioni offerte dal servizio stesso.

A prescindere dalle misure minime di sicurezza previste dal nostro codice in materia di protezione dei dati personali, (antivirus, firewall, difesa perimetrale, ecc.) bisogna fare particolare attenzione alle attività degli stessi utenti che devono rimanere sempre all’interno dei limiti previsti. Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi. In tale quadro di protezione diventa fondamentale l’analisi delle vulnerabilità del sistema informatico.

Pertanto nell’ottica del legislatore comunitario per sicurezza delle reti e dell’informazione bisogna intendere la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi

Vanno ovviamente predisposte specifiche misure per limitare tali rischi, quali la cifratura. Tali misure devono assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.

Nel GDPR un chiaro riferimento alle misure di sicurezza già si trova nell’art. 22 quando si chiarisce che IL TITOLARE DEL TRATTAMENTO METTE IN ATTO MISURE TECNICHE E ORGANIZZATIVE ADEGUATE PER GARANTIRE, ED ESSERE IN GRADO DI DIMOSTRARE, CHE IL TRATTAMENTO DEI DATI PERSONALI È EFFETTUATO CONFORMEMENTE AL REGOLAMENTO (principio di accountability). Tra queste, ove possibile:

  1. a) la pseudonimizzazione e la cifratura dei dati personali (intesa come un particolare trattamento in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile)
  2. b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali (intesa come la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati)
  3. c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;

d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Controllo degli accessi fisici alle aree dove avviene il trattamento dei dati personali –  Adeguate misure di sicurezza atte a prevenire il rischio che personale non autorizzato acceda alla strumentazione mediante cui è effettuato il  trattamento di dati personali , es. definizione e protezione delle vie di accesso,  messa in sicurezza delle attrezzature decentralizzate per il trattamento dei dati personali, tra cui anche personal computer, laptop, tablet, smartphone, etc;; definizione di autorizzazioni di accesso per dipendenti e soggetti terzi, comprensive di relativa documentazione.

 Gestione delle utenze e controllo degli accessi ai sistemi di trattamento dei dati personaliMisure adeguate al fine di prevenire l’accesso e l’utilizzo dei suoi sistemi di trattamento da parte di personale non autorizzato, es.: identificazione del terminale e/o dell’utente che accede ai sistemi ove vengono trattati i dati personali; password con caratteristiche forti (alfanumeriche almeno 8 caratteri, non facilmente riconducibile all’utente) sospensione automatica del terminale lasciato inattivo, con la necessità di inserire identificazione utente e password per riavviarlo; blocco automatico dell’identificazione utente in caso di errato inserimento della password e/o dell’utenza e tracciamento dei tentativi di accesso effettuati; protezione delle credenziali di accesso utente; definizione, per ciascun utente, di un profilo di accesso ai dati personali adeguato al ruolo a questi assegnato in azienda e limitatamente ai soli diritti necessari per le fase dell’elaborazione; registrazione, monitoraggio e tracciamento degli accessi eseguiti sul contenuto dei dati, con possibilità di ricostruire a ritroso la storia degli eventi.

Controllo degli accessi per l’utilizzo di specifiche aree sui sistemi di trattamento dei dati personali

Garanzia che l’accesso e l’utilizzo dei propri sistemi mediante cui avviene il trattamento dei dati personali sia limitato ai soli soggetti autorizzati e nei limiti delle necessità operative previste per il loro ruolo, allo scopo di prevenire lettura, copia, modifica e/o rimozione di tali dati in assenza di specifica senza autorizzazione. controllare periodicamente gli archivi, procedendo alla distruzione dei dati non più necessari e/o dei dati per i quali risulta terminato il periodo di conservazione indicato dal TITOLARE, in modo controllato e documentato

Notevole rilevanza viene attribuita dal legislatore comunitario anche al DISASTER RECOVERY, per cui diventa fondamentale predisporre uno specifico piano con il quale si intende fornire servizi volti all’analisi dei rischi di inoperatività del sistema EDP (informatico) e delle misure da adottare per ridurli, nonché la messa a punto del vero e proprio piano di emergenza informatica, che ricomprende, in particolare, procedure per l’impiego provvisorio di un centro di elaborazione dati alternativo o comunque l’utilizzo di macchine di soccorso da utilizzare in attesa della riattivazione.

IMPORTANTE: L’ ELENCAZIONE DELLE MISURE FATTA DAL GDPR DEVE ESSERE NECESSARIAMENTE CONSIDERATA ESEMPLIFICATIVA E NON ESAUSTIVA E, IN QUESTO SENSO, APERTA ALL’INDIVIDUAZIONE DI ALTRE DIVERSE POSSIBILI MISURE IDEATE IN BASE AL CONTESTO CONCRETO IN CUI VENGONO POSTE IN ESSERE