Cookie free: nessun "biscotto" per spiare i lettori

Sicurezza: dalle misure "minime" alle misure "adeguate"

Privacy e sicurezza - Andrea Gelpi* - 26 febbraio 2017

Il Regolamento, entrato in vigore il 25 maggio 2016, dava due anni di tempo per adeguarsi a una nuova concezione della protezione dei dati ma, come raccontano anche gli altri articoli di questo numero di InterLex, tutti sono in ritardo.
Troppi imprenditori non hanno ancora capito i cambiamenti in arrivo, se ne hanno sentito parlare.
Gli organismi di categoria stanno cominciando a muoversi solo ora, ma si limitano spesso ad informare che c'è qualche cosa da fare.

Il problema non sono le multe "terrificanti", come si legge in giro sulla Rete, né le fantomatiche assicurazioni "obbligatorie per legge" che i soliti furbi propongono via email. L'approccio corretto è completamente differente.

Il GDPR è un'opportunità per gli enti e le aziende per rivedere le politiche in tema di gestione dei dati in generale, compresi quelli personali. Un’occasione per fare un controllo e mettere in ordine le cose. In molti casi è possibile che ci siano stati negli anni dei cambiamenti che sono sfuggiti al controllo, soprattutto della "privacy", che nell’ottica del vecchio "Codice" è vista da molti solo come un obbligo burocratico.

Ci sono aziende che hanno subito danni anche ingenti per il blocco del sistema informativo a causa delle scarse misure di sicurezza. Purtroppo questa tendenza andrà aumentando con il tempo.
In molti casi i dati costituiscono un patrimonio, che può superare in valore quello scritto nei bilanci ufficiali e a cui troppo spesso non si pensa. Se si valuta il patrimonio dei dati in euro, il GDPR è un'opportunità per fare un sano investimento in sicurezza.

In breve, vediamo quali sono gli adempimenti tecnici più significativi che il Regolamento impone.

1. E' necessario partire da un elenco dei trattamenti, che indichi le categorie dei dati trattati, chi li tratta e dove vengono trattati. Solo a questo punto si possono definire le attività tecniche necessarie all’adeguamento dei sistemi e delle procedure.

2. Il GDPR dice che ogni titolare deve adottare "misure adeguate" e dovrà dimostrare quali misure ha adottato e perché. Non è quindi una mera indicazione burocratica, occorre documentare tutto.

3. "Misure adeguate" è molto di più delle vecchie "misure minime" Ogni titolare dovrà progettare – e dimostrare - misure di sicurezza adeguate al rischio, sulla base della "valutazione dell’impatto".
In ogni caso, può essere un buon punto di partenza partire dalla verifica che le vecchie misure minime siano realmente operative, comprese ad esempio le regole per le password (quindi niente più password di gruppo, o buste con le password).

4. Tenere presenti le misure di sicurezza che lo scorso anno l’AGID ha emanato per le pubbliche amministrazioni. Verificare la rispondenza a quelle misure sicuramente aiuta, anche se non basta.

5. La valutazione delle vulnerabilità (vulnerability assessment) è necessaria sui sistemi in generale e sui singoli sottosistemi.

6. Tutti gli aspetti tecnici vanno ricontrollati e su ciascuno di essi va fatta un'analisi dei rischi. Quindi si deve decidere se le misure già implementate siano da considerarsi adeguate o meno.

L'attuale legislazione italiana, il "Codice privacy", contiene anche altre indicazioni in aggiunta alle misure minime: molte restano necessarie, ma per capirci qualcosa dobbiamo aspettare che il Governo emani il o i decreti di modifica del Codice (che difficilmente sanno pronti prima della scadenza, prevista dalla legge 163/17 al 21 maggio prossimo). Ci sarà quindi pochissimo tempo, quattro giorni, per essere completamente "a norma" e implementare le misure obbligatorie.

Nel frattempo può essere utile rileggere alcuni provvedimenti del Garante, le cui indicazioni suggeriscono criteri di sicurezza che non possono essere ignorati:

- Amministratori di sistema e relativo sistema di log
- Videosorveglianza
- Gestione dei rifiuti informatici
- Sicurezza dei dati e dei sistemi
- Geolocalizzazione
- Posta elettronica e Internet nei luoghi di lavoro

Da questa lettura si può capire se ci sono trattamenti che richiedono l'analisi d'impatto (DPIA), cioè la necessità di fare un'analisi dei rischi e di prevedere delle misure per mitigare i rischi evidenziati. Nulla di trascendentale, ma richiede del tempo.

Altri aspetti invece, come la "Privacy by design e by default" o la pseudonomizzazione, non sono facili né veloci da implementare. Anche qualche fornitore del software di base su cui molti pacchetti applicativi si basano è in ritardo e non ha ancora fornito elementi utili.

Un esempio per tutti. Chi gestisce i server di posta elettronica dei suoi utenti ha l'accesso al contenuto di ogni messaggio presente sul server stesso. Volendo implementare la privacy by default sarebbe necessario non poter accedere al contenuto dei messaggi, cosa fattibile solo se gli stessi fossero cifrati e la chiave di decifratura non fosse in possesso di chi gestisce il server. A oggi molti sistemi di posta non dispongono ancora di tale funzione.

In generale il rafforzamento dei diritti degli interessati richiede una gestione di ulteriori informazioni, anche qui con aggiunte e modifiche ad applicativi oggi esistenti, o con la necessità di dotarsi di nuovi applicativi.
L'elenco delle cose da fare è lungo e, se si aggiungono gli aspetti organizzativi, il tempo è veramente poco (per non dire che è già scaduto).

* Ingegnere