Perché il Gdpr è la fine di un´era: ecco di cosa armarsi per affrontare la nuova

X CLOSE

DATA PROTECTION

Il nuovo Regolamento Ue sulla protezione dei dati personali può essere considerato la fine di un´era. Sicuramente è la fine della sconsideratezza, dal punto di vista informatico, della superficialità nell´uso e nella protezione dei nostri dati. Ecco perché

Fonte: Daniele Rigitano - Cyber Security Specialist @ Computer Emergency Response Team

Abbiamo appena superato la fine del mondo e non ce ne siamo nemmeno accorti. Stavolta a predirla non sono stati i Maya, non è stato Nostradamus: bensì l’Europa.

Il 25 maggio 2018 è alle spalle, il GDPR è finalmente a pieno regime. Siamo tutti ancora qui sani, salvi. O quasi.

End of an Era? Maybe.

Forse è la fine dell’Era in cui i grandi del Web[1] giostrano con i nostri dati, utilizzandoli nei modi più disparati e scambiandoseli in maniera totalmente incontrollata.

Forse è la fine di tutti quei moduli contenenti trafiletti scritti con caratteri smisuratamente piccoli, precompilati e pieni di asterischi.

Sicuramente è la fine della sconsideratezza, dal punto di vista informatico.

La fine delle password sui post-it

La fine dei giorni in cui un lavoratore smarrisce distrattamente una PenDrive nella quale sono memorizzati in chiaro i dati dei propri clienti, incurante dei pericoli che ne potrebbero conseguire.

La fine della cifra “zero” sulla riga dei capitoli di spesa relativi alla sicurezza IT.

La fine del “non sapevo”, “io di computer non ne capisco nulla”, “ho solo aperto la mail”.

Ignorantia legis non excusat!

L’articolo si limiterà a porre delle considerazioni riguardo il GDPR, dando per assodato che il lettore sia già edotto sulla materia.

Un po’ di storia di data protection

La tutela dei dati personali non nasce con il GDPR; esiste dal 1995, ed è disciplinata dalla
Direttiva CE 95/46[2]. Data la natura intrinseca del dispositivo, si è notato che per il cittadino europeo vi è una perdita della certezza del diritto, imputabile al trattamento diversificato subordinato alla legge di adozione relativa allo stato in cui viene a compiersi un determinato fatto.

Il Regolamento UE 2016/679 è un atto legislativo vincolante applicato imperativamente da tutti i membri dell’UE. I 63 punti di recepimento, a carico dei singoli paesi, riguardano il perfezionamento delle sanzioni in caso di violazione della normativa.

Va inoltre ricordato che il principio della preminenza del diritto comunitario si sostanzia nella prevalenza di quest’ultimo sulle norme interne con esso contrastanti, sia precedenti che successive, anche di rango costituzionale.

Il tortuoso recepimento italiano

Il GDPR è in vigore dal 24/05/2016. Nonostante l’efficacia differita di 2 anni, il nostro governo ha dato delega per adeguare, non abrogare, il quadro normativo nazionale (196/2003) solamente ad ottobre 2017. Il 10/05 u.s. il Governo ha inviato al Parlamento uno schema di Decreto Legislativo volto ad ottenere un parere entro il 21/05 u.s.. Così non è stato, con conseguente slittamento del termine al prossimo 21 agosto.

Senza effettuare particolari elucubrazioni, la domanda da porsi è:

“È assolutamente necessario per la mia attività raccogliere, archiviaree manipolare dati personali per mandare avanti il mio business?”

keyboard_arrow_right

keyboard_arrow_left

NO		SI
Artigiano che produce e vende al dettaglio, in cui eventuali dati trattati sono relativi ai soli dipendenti		Attività che tratta dati personali di soggetti terzi, diventandone automaticamente titolare, quindi responsabile

Chi è sanzionabile

Malgrado la pronuncia di inverosimili ipotesi in merito, il Titolare, amministrativamente e giuridicamente, è il responsabile ultimo del trattamento dei dati secondo la normativa.

Stesso discorso vale, amministrativamente, per il RdT. Risponderà, per il danno causato dal trattamento solo se non ha adempiuto correttamente agli obblighi sanciti, o se ha agito in modo difforme o contrario rispetto alle istruzioni fornite dal Titolare del trattamento.

Infine, malgrado alcuni affermino il contrario, le sanzioni economiche stabilite dal GDPR non sono mai attribuibili direttamente al DPO.

Diversamente, il DPO è sanzionabile come qualsiasi dipendente: eventuali ripercussioni amministrative seguiranno i meccanismi di rivalsa interna. Ad ogni modo, un profilo di responsabilità penale in capo al DPO permane, nel caso in cui sia proprio la condotta dello stesso a determinare l’evento dannoso.

GDPR for Dummies

Il Titolare

Colui che realmente determina le finalità e i mezzi per i vari trattamenti.

Il Responsabile del trattamento

Preferibilmente esterno[3], è altamente sconsigliato che sia lo stesso Titolare.

Deve essere in grado effettuare l’assessment delle attività, di analizzare i rischi derivanti dal proprio trattamento e di porre in essere contromisure pertinenti al rischio rilevato, mantenendo aderente la propria copia del registro con quella detenuta dal Titolare.

Il DPO

È identificabile in un Internal Auditor specializzato sia in ambito Assurance, che in ambito Compliance:

keyboard_arrow_right

keyboard_arrow_left

Assurance		Compliance
Attività volta al miglioramento dell’efficacia e dell’efficienza dell’organizzazione attraverso la valutazione dei processi aziendali. Obiettivo dell’attività è fornire al Titolare una valutazione di affidabilità sul sistema di controllo verso i trattamenti in essere		Funzione che identifica costantemente le norme relative al trattamento, ne valuta la loro integrazione nei processi e procedure aziendali, garantendone la corretta applicazione e valutandone l’impatto

Più che un “Officer”, sarebbe stato opportuno parlare di “Office”. Analizzando tale mansione in aziende di grandi dimensioni, è verosimile considerare la realizzazione di un ufficio incaricato nella verifica delle pratiche di conformità.

Tale ruolo può essere gestito all’interno dell’azienda o essere affidato ad un fornitore di servizi. L’importante è che il DPO sia posizionato nell’organigramma in modo da essere imparziale e non influenzabile (art. 38, par. 3, considerando 97).

È una “professione non regolamentata”: diffidare quindi da eventuali certificazioni che lo stesso possa vantare. Pur rappresentando un valido strumento per la verifica del possesso di un livello minimo di conoscenza della disciplina, non sono una abilitazione allo svolgimento del ruolo.

È di fondamentale importanza diffidare da fornitori di servizi che offrono servizi di DPO a prezzi grottescamente bassi. Il DPO è un revisore altamente qualificato, che si occupa in maniera esclusiva e continuativa della data protection: è pertanto impensabile ritenere veritiera una qualsiasi offerta che preveda un simile impegno a basso costo[4].

In tal senso il Garante considererà estremamente negativo ogni danno causato da inadempimenti derivati dall’erronea scelta del DPO, condannando categoricamente la “culpa in eligendo”.

La Sicurezza IT

Da non sottovalutare è la necessità di dover adeguare o, nel peggiore dei casi, mettere in piedi da zero l’architettura di sicurezza IT.

Processi e procedure

Per evitare un Data Breach non basta acquistare soluzioni GDPR-Compliant: servono processi e procedure di incident prevention/detection/response, disaster recovery e business continuity.

Spesso, quanto elencato è totalmente assente o inadeguato: quante volte un SOC rileva un evento non classificabile che richiede l’intervento del management, con conseguente perdita di tempo? Cosa accade in questo lasso di tempo? A quale esposizione si è sottoposti?

Il GDPR rimarca quindi intrinsecamente l’importanza dei CERT/CSIRT: la necessità di una Governance dei Sistemi IT.

Il fattore umano, vero anello debole

Quando si parla di sicurezza, è noto che il fattore umano è l’anello debole della catena. Un dipendente, non sufficientemente preparato è spesso complice inconsapevole dei pirati informatici. Basti pensare al malware WannaCry, eseguito a seguito della ricezione di un’email di Phishing.

Con il GDPR, i risvolti di tali attacchi potrebbero avere risvolti ben peggiori:

Nel caso in esame, un device contenente dati sensibili risulterebbe cifrato con una chiave che è nelle mani di un utente sconosciuto e non addetto al trattamento.

Dati esfiltrati: Data Breach.

Crittografia

Nonostante il GDPR non preveda delle misure minime, si indicano la cifratura di dati ed archivi e la pseudonimizzazione delle informazioni come tecniche ideali la protezione dei dati.

In questo modo una fuga di dati implica che le informazioni reperibili siano visibili ma totalmente incomprensibili e destrutturate.

Memorizzazione

Si pensi alla violazione di un server o allo smarrimento di un device: nessun soggetto entrato in possesso dei dati, sarà in grado di comprenderli dal momento che algoritmi e tecnologie li hanno resi illeggibili.

Trasmissione

Ulteriore problema riguarda la condivisione file tra soggetti. Vi è qui la necessità di istanziare procedure che permettano lo scambio di informazioni tramite canali sicuri. Le soluzioni possono implicare l’utilizzo di crittografia simmetrica/asimmetrica o software dedicati. L’importante è che la riservatezza del dato in transito su canale non sicuro sia preservata.

Cloud

Particolare attenzione deve essere posta per i dati gestiti tramite infrastrutture esterne all’organizzazione. I cloud provider devono garantire il trattamento in conformità al GDPR. CISPE è l’iniziativa lanciata dai fornitori europei per garantire soluzioni in linea con gli obblighi imposti dal GDPR.

[

] [

] [

] [

]