GDPR e le misure minime di sicurezza

Domande ricorrenti: esistono sempre le misure minime di sicurezza? Quali sono? Dobbiamo adottarle o no?

Le famigerate misure minime di sicurezza erano allegate al D.Lgs. 196/03 (allegato B); il D.Lgs. 101/2018 le ha abrogate (art. 27, comma 1, lett. d).

Per 14 anni sono state oggetto di critica (troppo oppure troppo poco), ridicolizzate dagli estremisti, snobbate dagli asceti, sottovalutate dai qualunquisti.

Posso tranquillamente affermare che, ad oggi, molte organizzazioni non hanno neanche adottato tutte le (abrogate) misure minime di sicurezza introdotte nel 2004. Non ci credete? Ne cito una, forse tra le più disattese:

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura per provvederne alla esecuzione, riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

IL GDPR assegna oggi al Titolare (l’azienda) l’onere di definire le più appropriate misure di sicurezza (non quelle minime) e l’onere di dimostrare che esse sono appropriate (ed adottate, oltre che verificate periodicamente).

Quindi le misure minime del D.Lgs. 196/03 sono la base di partenza, ma non sono sicuramente le misure appropriate da adottare, almeno nelle realtà diverse dalle piccolissime.

Il nuovo approccio del GDPR richiede quindi alle aziende responsabilizzazione, adozione di misure e stumenti di sicurezza ed il loro avvallo; siamo passati (a mio modesto parere) da un approccio di tipo “civil law” (con il tutore che prescrive) a quello “common law” (con le aziende che in piena autonomia decidono, adottano e sono successivamente in grado di dimostrare “il valore” delle loro scelte).

WebSite Assessment

Con l’entrata in vigore del nuovo Regolamento Europeo 679/2016, diventa ancora più importante avere il sito web “in regola”.

Mettiamo a disposizione delle organizzazioni il nostro servizio di “Web Site Assessment”, che effettuiamo da anni, le cui procedure sono state aggiornate per comprendere i requisiti del GDPR.

Si tratta di una valutazione di tutti gli aspetti inerenti il sito web, che riguardano configurazioni hosting e dns, tecnologie IT utilizzate, versione software in uso, geolocation di web server e mail server, eventuale C.M.S. e presenza vulnerabilità, integrità del codice html, FrameWork adottati, Content Distribution Network, configurazioni di sicurezza, https:// e validazione relativo certificato ssl, valutazione rispondenza informativa privacy, plug-in presenti e relativi cookies, verifica cookie law, tempi di conservazione dei log, ecc.

Il risultato dell’assessment è costituito da un documento elettronico di report (pdf) firmato e avente data certa, nel quale si evidenziano gli aspetti oggetto di analisi; esso può essere prodotto quale misura tecnica richiesta all’art. 32 comma 1 lettera d) GDPR e più in generale quale dimostrazione di accountability richiesta al titolare all’art. 24 comma 1 GDPR.

Il servizio “Web Site Assessment” è di norma compreso nel nostro pacchetto di consulenza GDPR, mentre per chi lo desidera è effettuabile come attività “stand-alone” ad un prezzo accessibile.

GDPR e sito web

L’entrata in vigore del nuovo Regolamento UE 679/2016 ha effetti anche su tutti i siti web; essi debbono essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, salvo altro.

Occorre valutare la rispondenza, del sito web, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – detto cookie law. 

Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente da chi il sito lo ha realizzato).

Effettuiamo, da tempo, valutazioni di compliance dei siti web a tutti gli aspetti inerenti la dataprotection (sia legale che informatico), tramite il nostro servizio professionale WebSite Assessment; esso potrà essere prodotto come dimostrazione di accountability del Titolare del Trattamento. Generalmente questa valutazione viene effettuata da remoto, senza necessità di avere accesso al sistema informatico, ad un costo accessibile a tutte le organizzazioni.

Registro dei trattamenti – art. 30 GDPR

Come sappiamo, il Regolamento EU 679/2016 introduce, all’art. 30, l’obbligo per i Titolari di dotarsi del registro dei trattamenti.

L’obbligo non si applica alle organizzazioni con meno di 250 dipendenti, ma il Garante, gli Organi di Controllo ed i vari esperti ne consigliano la tenuta (e l’aggiornamento continuo, aggiungerei).

Come discriminante generale direi che i Titolari che trattano dati particolari di terzi, diversi da quelli dei dipendenti, debbono avere il Registro dei Trattamenti.

Il registro è tenuto in forma scritta o (meglio) anche in formato elettronico; non è strettamente necessario acquistare un software apposito in quanto, nelle “organizzazioni classiche”, si tratta di un documento abbastanza semplice da realizzare.

Ho predisposto un apposito documento di Excel con alcuni campi predeterminati ed alcune piccole automazioni, che supporta la produzione ed il mantenimento del  registro dei trattamenti per studi professionali e PMI non IT.

I clienti sono invitati a richiedere il documento (compreso nel servizio di consulenza GDPR).

Aggiornamento: sono state pubblicate le F.A.Q. sul Registro dei Trattamenti

Responsabili trattamento dati interni

Ho saputo che, anche recentemente, alcuni ospedali italiani hanno proceduto alla nomina, quali Responsabili Interni del Trattamento di Dati Personali, tutti i dirigenti delle varie U.O. ospedaliere.

La nomina del responsabile interno è una consuetudine prevalentemente italiana; spesso ciò è stato fatto per rafforzare, nelle organizzazioni, la consapevolezza della tutela dei dati personali, anche se nella direttiva 95/46/CE e nel Codice Privacy D.lgs 196/2003 non si riscontrano distinguo tra responsabile esterno ed interno.
In Europa, invece, la figura del responsabile è stata quasi sempre riferita ad una figura esterna.

Nel nuovo GDPR, il Responsabile del Trattamento è definito come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

Articolo 28 GDPR:
 
 ... omissis
 3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
 Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
 a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento,anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; ... omissis
 b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
 c) adotti tutte le misure richieste ai sensi dell’articolo 32 (la sicurezza del trattamento);
 h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese
 le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato ... omissis

Appare chiaro che tutto questo dettato si riferisce ad un soggetto esterno; il dirigente della U.O. ospedaliera ha già un contratto di incarico subordinato, non può decidere durata, natura e finalità dei trattamenti, ne decidere in merito alla adozione delle misure di protezione richieste dal GDPR all’articolo 32 (e successivi).

Alla luce di quanto esposto, non appare più praticabile la nomina indiscriminata di responsabili interni, solo perchè ricoprono incarichi dirigenziali; oltretutto:

 articolo 82 GDPR:
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

UPDATE 25/05/2018: il Prof. Pizzetti, oggi al convegno Federprivacy, ha confermato la mia interpretazione; il responsabile del trattamento è essenzialmente un soggetto esterno.

GDPR e amministratore di sistema

Domanda ricorrente: con l’entrata in vigore del GDPR, la normativa relativa agli amministratori di sistema rimarrà valida, verrà disapplicata o diventerà inutile?

In primo luogo, il nuovo regolamento europeo 2016/679 non disapplica i provvedimenti e gli altri interventi regolatori emanati dalla nostra Autorità di Controllo (Garante Privacy), se compatibili e non in conflitto con le nuove regole.

In secondo luogo, la filosofia alla base del GDPR (es. valutazione del rischio e responsabilizzazione) intende attribuire l’onere di valutazione delle strategie di controllo e l’adozione delle misure di prevenzione in capo al Titolare del Trattamento.

Quale Titolare potra quindi decidere di considerare inutile il provvedimento sugli amministratori di sistema, che determina un sistema di controllo e prevenzione di attività illecite delle persone che hanno il maggior potere sugli assets I.T. aziendali?
A mio parere, il provvedimento, fintanto che non verrà riproposto o rivisto in ottica GDPR (nel quale la figura dell’IT-admin è la grande assente) rimane una misura necessaria.

Quali sono gli oneri relativi al provvedimento del Garante sugli IT-admin?

Gli obblighi attuali sono i seguenti:

  • l´attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza;
  • il Titolare del Trattamento deve designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti, in base al profilo di autorizzazione assegnato;
  • il Titolare del Trattamento è tenuto a indicare in un documento interno gli estremi identificativi delle persone fisiche designate quali amministratori di sistema, con l’elenco delle funzioni ad esse attribuite; il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall’outsourcer);
  • il Titolare del Trattamento deve adottare idonei sistemi di registrazione degli accessi logici, compiuti dagli amministratori, ai sistemi di elaborazione ed alle operazioni compiute sugli archivi e files; tali dati (access-log e operation-log) devono essere registrati e conservati per almeno sei mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto;
  • qualora gli amministratori, nell’espletamento delle proprie mansioni, accedano ai dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti; in tal caso, è fatto onere al Titolare del Trattamento di rendere noto ai lavoratori dipendenti questo loro diritto;
  • l’operato degli amministratori di sistema deve essere oggetto di verifica, con cadenza almeno annuale, per verificare che le attività svolte dall’amministratore siano effettivamente conformi alle mansioni attribuite; questo aspetto, che viene “sistematicamente dimenticato”, alla nuova luce del GDPR è quello più determinante in ottica “accountability”.

Ma i sistemi operativi server già producono i log delle operazioni, quindi non siamo già a posto?

Assolutamente NO; occorre dapprima valutare se il dettaglio dei log generato di default sia sufficiente a registrare tutte le operazioni compiute dagli amministratori sul server (quasi sempre non lo è); inoltre i file di log debbono essere raccolti in un sistema centralizzato, fuori dalla portata degli amministratori (lo potrebbero manomettere), il quale deve garantire l’integrità ed inalterabilità dei log raccolti.

Anche in questo caso, se dovete realizzare (o migliorare) una architettura informatica compliant al provvedimento sugli amministratori di sistema, abbiamo competenza ed esperienze per assistervi nella sua definizione, controllo delle corrette funzionalità e verifica annuale dei log e del corretto funzionamento del dispositivo; una soluzione che raccoglie le operazioni in maniera conforme al provvedimento del Garante è IPsent.

UPDATE: questo post risulta tra i più visitati (ed anche ripreso da altri); ho ricevuto moltissime richieste, a seguito delle quali ho pubblicato un’altra precisazione sull’argomento.