La Cyber Security e il GDPR non erano il primo pensiero degli imprenditori fino a qualche anno fa. Dall’entrata in vigore del GDPR e con l’emissione della Direttiva NIS e del Cybersecurity Act l’Unione Europea ha voluto dare una sterzata verso la responsabilizzazione, l’accountability e le potenziali conseguenze di un data breach. I destinatari sono tutte quelle aziende che, abbracciando la digital transformation, tendessero a dimenticare la sicurezza informatica come priorità, dal punto di vista della security e della privacy dei dati (Cyber Security e GDPR).
Vediamo quindi quali scelte prioritizzare per implementare misure di Cyber Security congrue al GDPR, adeguando l’azienda alla compliance normativa e, allo stesso tempo, mantenendo un approccio efficace ed efficiente nell’operatività del business day by day.
Concetti strategici di Cyber Security nel GDPR: Privacy by design e by default
I concetti coinvolti con il tema della Cyber Security nel GDPR riguardano la Privacy by design e by default sanciti nell’articolo 25 che sottolinea come si debba scegliere una protezione adeguata ai mezzi aziendali nella fase di progettazione (Privacy by design). Lo stesso articolo specifica come sia necessario adottare misure tecniche e organizzative adeguate per il trattamento dei soli dati personali necessari per ogni specifica finalità del trattamento e non di più (Privacy by default).
Cyber Security e GDPR nelle indicazioni dell’articolo 32
Ma è nell’articolo 32 che le misure tecniche e organizzative introdotte nell’art. 25 sono elencate e specificate come misure di sicurezza del trattamento (articolo 1, lettera a-d).
12 action per la compliance e la Cyber Security per il GDPR
Ma in pratica da dove partire? Vi sono almeno 12 passi da dover seguire:
1 – Consapevolezza del cambio di approccio: il nuovo modello previsto dal Regolamento richiede la responsabilizzazione del titolare e quindi la sua accountability non può mai essere demandata a qualcun altro.
2 – Mappatura dei trattamenti ovvero effettuare una valutazione di assessment sulla superficie da proteggere costituita da: tipi di dati trattati e per ciascuno individuare tutte le elaborazioni (trattamenti) effettuate o da effettuare, la durata del trattamento, individuazione della provenienza e destinazione dei dati, le modalità di raccolta e di conservazione (retention), i soggetti coinvolti (responsabili del trattamento).
3 – Inventario degli asset. È necessario istituire e aggiornare un inventario degli asset per valutarne le vulnerabilità che possono influenzare l’analisi di rischio (punto 4). Per ogni asset devono essere definite le misure di sicurezza applicabili sui dati secondo la capacità di garantire la Riservatezza, Integrità e Disponibilità (RID) dei dati “at rest” e “in transit”, monitorando gli accessi, tracciando la storia dei dati trattati. Questo richiede che ogni strumento digitale sia in grado di avere le seguenti features:
- Controllo degli accessi prevedendo le fasi di identificazione autenticazione e autorizzazione sulla base della profilazione dell’utenza e configurazione al minimo indispensabile (need to knw e del least priviledge).
- Tracciamento dei log con livello di dettaglio configurabile, e protezione dei log stessi.
- Controllo sull’esattezza dei dati, modifica e cancellazione nell’ambito delle rispettive policy di “precision” del dato, autorizzazione alla modifica, retention del dato, consentendo in ogni momento che l’utenza possa esercitare i suoi diritti sui dati (modifica rettifica e cancellazione).
- Segregazione dei dati sensibili e particolari oltre a quelli personali, adottando misure incrementalmente stringenti che spaziano dalla pseudonimizzazione alla cifratura sia per i dati salvati e fermi “at rest”, sia per i dati movimentati “in transit”.
- Salvataggio dei dati con back up e policy adeguate al rischio, secondo policy 3-2-1 e legate al RPO e RTO dei dati, istituendo anche un processo di Disaster Recovery.
4 – Valutazione dei rischi e DPIA (Data Protection Impact Analysis). Si effettua la stima del rischio per ogni tipo di dato gestito, valutando le minacce incombenti e l’impatto come danno economico in relazione alla alterazione della RID di quel dato.
5 – Mitigazione dei rischi: significa valutare l’adozione delle misure di sicurezza adeguate a diminuire il rischio di problemi sui dati. Questa lista di misure è connessa alle capacità degli asset aziendali (punto 3) e deve essere riportata nel registro di trattamento (punto 6).
6 – Compilazione del Registro del Trattamento, ovvero il documento (articolo 30 GDPR) che contiene tutti i dati della mappatura effettuata al punto 2 con tutte le valutazioni calcolate nel punto 4 e mitigate nel punto 5.
7 – Nomina del DPO. Il GDPR prevede la possibilità di dotarsi di un DPO e in alcuni casi lo obbliga. È necessario quindi verificare l’art. 37 del GDPR e poi scegliere.
8 – Policy e procedure aziendali sulla security; è necessario stabilire almeno quelle relative ai data Breach e alla gestione di incidenti informatici, alla Business Continuity e Disaster Recovery.
9 – Redazione della informativa privacy per gli utenti e della gestione del consenso da parte degli utenti.
10 – Istituzione di Ruoli e Responsabilità in materia di trattamento dei dati e previsione di Formazione ai dipendenti su queste tematiche.
11 – Contrattualizzazione con i fornitori per normare le garanzie contrattuali in materia di GDPR per il loro ruolo e coinvolgimento nella gestione dei dati (anche per la sicurezza della supply chain).
12 – Rivalutazione periodica di tutte le misure istituite in ottica di aggiornamento e miglioramento.
Data Breach Management
L’espressione Data Breach è utilizzata negli articoli 33 Notifica all’Autorità di Controllo, 34 notifica agli interessati, del General Data Protection Regulation (GDPR - regolamento (UE) 2016/679). In Italia il GDPR è stato recepito con il Decreto Legislativo 10 agosto 2018 n. 101.
Attualmente la normativa UE sulla Privacy stabilisce che le aziende che mancano di notificare un data breach all'autorità di vigilanza pertinente entro 72 ore dalla violazione potrebbero essere soggette a multe fino a 10 milioni di euro o al 2% del fatturato annuale.
Essere inconsapevoli delle procedure di risposta agli incidenti della propria organizzazione può causare ritardi nei rapporti con l'autorità di vigilanza e portare a maggiori multe e perdite di entrate.
Tutte le indicazioni per il trattamento del Data Breach sono disponibili sul sito apposito del Garante. Parte integrante della Data Breach Management è la data breach notification disciplinata dalle linee guida in materia di notifica delle violazioni di dati personali - WP250, definite in base alle previsioni del Regolamento (UE) 2016/679.
Implementare policy e procedure di Data Breach Management (meglio specificate qui) significa pianificare la gestione di una violazione dei dati. È preferibile farlo in anticipo, piuttosto che improvvisare durante una emergenza, ai fini della efficacia ed efficienza dell’azione.
