GDPR e le misure minime di sicurezza

Domande ricorrenti: esistono sempre le misure minime di sicurezza? Quali sono? Dobbiamo adottarle o no?

Le famigerate misure minime di sicurezza erano allegate al D.Lgs. 196/03 (allegato B); il D.Lgs. 101/2018 le ha abrogate (art. 27, comma 1, lett. d).

Per 14 anni sono state oggetto di critica (troppo oppure troppo poco), ridicolizzate dagli estremisti, snobbate dagli asceti, sottovalutate dai qualunquisti.

Posso tranquillamente affermare che, ad oggi, molte organizzazioni non hanno neanche adottato tutte le (abrogate) misure minime di sicurezza introdotte nel 2004. Non ci credete? Ne cito una, forse tra le più disattese:

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura per provvederne alla esecuzione, riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico.

IL GDPR assegna oggi al Titolare (l’azienda) l’onere di definire le più appropriate misure di sicurezza (non quelle minime) e l’onere di dimostrare che esse sono appropriate (ed adottate, oltre che verificate periodicamente).

Quindi le misure minime del D.Lgs. 196/03 sono la base di partenza, ma non sono sicuramente le misure appropriate da adottare, almeno nelle realtà diverse dalle piccolissime.

Il nuovo approccio del GDPR richiede quindi alle aziende responsabilizzazione, adozione di misure e stumenti di sicurezza ed il loro avvallo; siamo passati (a mio modesto parere) da un approccio di tipo “civil law” (con il tutore che prescrive) a quello “common law” (con le aziende che in piena autonomia decidono, adottano e sono successivamente in grado di dimostrare “il valore” delle loro scelte).

WebSite Assessment

Con l’entrata in vigore del nuovo Regolamento Europeo 679/2016, diventa ancora più importante avere il sito web “in regola”.

Mettiamo a disposizione delle organizzazioni il nostro servizio di “Web Site Assessment”, che effettuiamo da anni, le cui procedure sono state aggiornate per comprendere i requisiti del GDPR.

Si tratta di una valutazione di tutti gli aspetti inerenti il sito web, che riguardano configurazioni hosting e dns, tecnologie IT utilizzate, versione software in uso, geolocation di web server e mail server, eventuale C.M.S. e presenza vulnerabilità, integrità del codice html, FrameWork adottati, Content Distribution Network, configurazioni di sicurezza, https:// e validazione relativo certificato ssl, valutazione rispondenza informativa privacy, plug-in presenti e relativi cookies, verifica cookie law, tempi di conservazione dei log, ecc.

Il risultato dell’assessment è costituito da un documento elettronico di report (pdf) firmato e avente data certa, nel quale si evidenziano gli aspetti oggetto di analisi; esso può essere prodotto quale misura tecnica richiesta all’art. 32 comma 1 lettera d) GDPR e più in generale quale dimostrazione di accountability richiesta al titolare all’art. 24 comma 1 GDPR.

Il servizio “Web Site Assessment” è di norma compreso nel nostro pacchetto di consulenza GDPR, mentre per chi lo desidera è effettuabile come attività “stand-alone” ad un prezzo accessibile.

GDPR e sito web

L’entrata in vigore del nuovo Regolamento UE 679/2016 ha effetti anche su tutti i siti web; essi debbono essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, salvo altro.

Occorre valutare la rispondenza, del sito web, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – detto cookie law. 

Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente da chi il sito lo ha realizzato).

Effettuiamo, da tempo, valutazioni di compliance dei siti web a tutti gli aspetti inerenti la dataprotection (sia legale che informatico), tramite il nostro servizio professionale WebSite Assessment; esso potrà essere prodotto come dimostrazione di accountability del Titolare del Trattamento. Generalmente questa valutazione viene effettuata da remoto, senza necessità di avere accesso al sistema informatico, ad un costo accessibile a tutte le organizzazioni.

Registro dei trattamenti – art. 30 GDPR

Come sappiamo, il Regolamento EU 679/2016 introduce, all’art. 30, l’obbligo per i Titolari di dotarsi del registro dei trattamenti.

L’obbligo non si applica alle organizzazioni con meno di 250 dipendenti, ma il Garante, gli Organi di Controllo ed i vari esperti ne consigliano la tenuta (e l’aggiornamento continuo, aggiungerei).

Come discriminante generale direi che i Titolari che trattano dati particolari di terzi, diversi da quelli dei dipendenti, debbono avere il Registro dei Trattamenti.

Il registro è tenuto in forma scritta o (meglio) anche in formato elettronico; non è strettamente necessario acquistare un software apposito in quanto, nelle “organizzazioni classiche”, si tratta di un documento abbastanza semplice da realizzare.

Ho predisposto un apposito documento di Excel con alcuni campi predeterminati ed alcune piccole automazioni, che supporta la produzione ed il mantenimento del  registro dei trattamenti per studi professionali e PMI non IT.

I clienti sono invitati a richiedere il documento (compreso nel servizio di consulenza GDPR).

Aggiornamento: sono state pubblicate le F.A.Q. sul Registro dei Trattamenti

GDPR vulnerability assessment

Per capire compiutamente cosa sia un vulnerability assessment occorre introdurre il concetto di vulnerabilità, che nel caso di specie si riferisce all’information tecnology.

Una vulnerabilità è una condizione imprevista nella quale si può venire a trovare un sistema, generalmente determinata da un errore di programmazione, una misconfigurazione o un bug presente nei sottosistemi hardware, software e/o nei protocolli di trasmissione.

Questo determina un “punto debole” dell’intero sistema, che può essere sfruttato per compromettere la sicurezza della intera infrastruttura della quale il dispositivo o software fa parte.

Al fine di innalzare il livello di sicurezza, occorre mettere in atto procedure ricorrenti che verifichino gli strumenti, specialmente quelli esposti al pubblico oppure collegati ed InterNet, non abbiano vulnerabilità; queste procedure vengono definite Vulnerability Assessment (che qualcuno indica anche Vulnerability Scan) e sono di norma effettuate tramite strumenti automatici, che evidenziano eventuali vulnerabilità presenti nei dispositivi informatici e/o nel software sottoposto ad analisi.

Utilizziamo gli strumenti professionali di riferimento, nell’ambito internazionale, per il riscontro delle vulnerabilita dei sistemi informativi; le nostre attività di Vulnerability Assessment vengono correlate da apposita documentazione che certifica che, alla data, non sono / sono presenti servizi/strumenti/software affetti/non affetti da specifiche vulnerabilità.

Si tratta quindi di uno strumento che certifica lo stato attuale e dimostra l’accountability del titolare del trattamento.

GDPR compliance assessment

La nostra attività GDPR assessment consiste in una valutazione completa ed approfondita della vostra organizzazione, per valutarne il livello di compliance al Regolamento Europeo 679/2016 (GDPR o RGPD).

Le attività di analisi riguardano tutti gli ambiti ed i processi inerenti al trattamento di dati personali; vengono analizzati gli aspetti giuridici, legali, procedurali, organizzativi e tecnologici, sia inerenti sistemi informativi che trattamenti cartacei, nonchè la necessità di effettuare la DPIA – Data Protection Impact Assessment per i trattamenti soggetti.

Vengono sottoposti a valutazione di adeguatezza gli strumenti adottati per il trattamento dei dati personali ed il relativo livello di sicurezza, ivi compresa l’aderenza ai requisiti di trasparenza, minimizzazione, privacy by design – default e dei tempi di conservazione.

Sono anche valutati il livello di formazione degli incaricati ed il livello di accountability delle varie unità organizzative, nonchè il rispetto delle prerogative e dei diritti degli interessati.

Il nostro team ha le competenze necessarie a rendere ogni organizzazione, anche multinazionale, aderente ai dettami del Regolamento UE 679/2016 sulla protezione dei dati personali dei soggetti presenti nel territorio europeo.