GDPR Misure di sicurezza

Facendo un piccolo passo indietro per contestualizzare l’articolo, il GDPR prevede l’adozione, da parte delle imprese che trattano dati personali, di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del nuovo regolamento.

Questo significa che ogni azienda deve adottare delle misure per eliminare, o almeno ridurre al minimo, il rischio di data breach (=violazione dei dati personali sotto forma di perdita, distruzione o diffusione indebita a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi).

Per fare ciò, l’art.32 del GDPR parla delle misure di sicurezza che devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. L’espressione “adeguato al rischio” implica che non ci sia nessun obbligo specifico sulle azioni e sugli strumenti da utilizzare e, soprattutto, che queste misure devono essere adeguate alla portata del rischio corso dalla violazione delle informazioni che vengono gestite. Detto in maniera più semplice: un’azienda che promuove i propri servizi e prodotti ad altre aziende (o meglio, ai referenti delle aziende) di cui tratta nome, cognome ed e-mail aziendale adotterà delle misure più soft rispetto ad una banca che gestisce transazioni finanziarie e custodisce quindi dati sui conti correnti, carte di credito, …

Tale valutazione del rischio è compito del titolare e del responsabile in rapporto ai rischi.

Per alcune tipologie di trattamenti (art. 6) potranno restare in vigore le misure di sicurezza attualmente previste attraverso le disposizioni di legge applicabili: stiamo parlando ad esempio del trattamento dei dati sensibili attuato dagli enti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.

Articolo 32 GDPR Misure di sicurezza

Riportiamo ora l’articolo 32 del GDPR, oggetto del nostro articolo:


1.
 Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Al punto 1° si parla di pseudonimizzazione, ovvero il principio per cui le informazioni di profilazione devono essere conservate impedendone l’identificazione dell’utente. Ne è un esempio la cifratura dei dati.

Al punto 1b “la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” possono essere garantite con soluzioni che permettono la profilazione, l’autenticazione e le autorizzazioni attribuite in base al ruolo che una persona ricopre all’interno della sua azienda. Si ha così la certezza di fornire l’accesso e il trattamento ai dati solo alle persone che ne hanno diritto e che lo esercitano in conformità al regolamento interno – a sua volta conforme al GDPR –, concetto rafforzato al punto 4 dell’articolo.

Al punto 1c si evidenzia l’importanza di saper ripristinare in tempi adeguati la disponibilità e l’accesso ai dati che hanno subito un incidente fisico o tecnico. Ovvero in caso di incendio, allagamento, corto circuito, … l’azienda deve avere la capacità di garantire una continuità operativa ripristinando la situazione.

Come si fa ad essere sicuri che una metodologia ed uno strumento funzionino correttamente? Tramite i test. Ecco perché al punto 1d si prevede un’azione volta a verificarne e valutarne l’efficacia al fine di essere sempre in grado di attuare misure correttive.

Cosa succede in caso di data breach?

A partire dal 25 maggio 2018, tutti i titolari dovranno notificare al Garante della Privacy le violazioni di dati personali di cui vengano a conoscenza entro 72 ore e comunque “senza ingiustificato ritardo” se da questo data breach derivano rischi per i diritti e le libertà dei soggetti interessati. Ancora una volta la valutazione del rischio è un punto cardine della normativa.

In alcuni casi, quando cioè il rischio è molto elevato, la violazione dovrà essere comunicata anche agli interessati (art. 34 GDPR).

Quali misure di sicurezza adottare?

Alla luce di quanto scritto prima, un concetto sempre presente è quello della valutazione dei rischi. Tale valutazione è chiaramente un’analisi nei confronti dei dati trattati e dagli strumenti che vengono utilizzati per archiviarli e gestirli. Ovvero le soluzioni software presenti in azienda.

Se non si mastica un po’ di informatica, la valutazione non è un’attività facilissima. Il rischio poi è strettamente connesso al grado di compliance che tali sistemi hanno nei confronti del GDPR.

Facciamo degli esempi concreti: CRM ed ERP (gestionali) sono i due sistemi che per eccellenza contengono dati su clienti e possibili tali. Secondo la normativa, i software per essere conformi devono essere costruiti secondo il criterio di privacy by design. I nostri software gestionali ne sono un esempio e garantiscono attraverso una tecnologia legata al database Oracle un livello di sicurezza adeguato al rischio. In base ai diversi livelli di cui si ha bisogno, Axioma è in grado di soddisfare tutte le esigenze, raggiungendo un livello di conformità attraverso progetti di infrastruttura mirati e commisurabili al livello di rischio a cui è esposto il nostro cliente.

Riprendendo il punto 1b, Axioma rende disponibili soluzioni in cloud che permettono di disporre di architetture hardware sofisticate, altamente affidabili e costantemente presidiate dal nostro team specialistico in grado di controllare l’integrità e l’efficienza delle transazioni end-to-end, cioè dall’utente alla tecnologia:

  • utente che, sempre profilato, accede a qualsiasi applicazione tramite credenziali che gli forniscono gli adeguati permessi di consultazione e modifica delle informazioni.
  • tecnologia che, grazie ai servizi di Kaspersky, protegge tutti i dispositivi utilizzati per accedere e trattare i dati.

La continuità operativa, punto 1 c, viene inoltre assicurata da soluzioni di backup e disaster recovery poiché ci avvaliamo di partner internazionali e affidabili come Veeam, famoso per il miglior data center a livello internazionale.

Infine, il ciclo della qualità (=Plan –> Do –> Check –> Action) adottato da Axioma con una metodologia di gestione dei sistemi e delle applicazioni solida e ben definita assicura la continua conformità alle normative e assicura che qualsiasi azione venga testata e verificata. L’attività di prevenzione, derivante da un’attenta pianificazione delle attività, è la conseguenza della nostra esperienza con clienti che quotidianamente si rivolgono a noi per esigenze di sicurezza, prevenzione e continuità operativa. Oltre che di adeguamento alle normative.