I presupposti della forensics readiness

L’interpretazione delle normative contenute nel GDPR può non essere univoca in tutti i Paesi UE, per cui è utile adottare gli standard più avanzati.

Giuseppe Serafini Giuseppe Serafini

in: Il parere del legale.

argomenti trattati: .

L’esame dei principali rapporti sullo stato di attuazione delle misure di sicurezza informatica oltre che la semplice lettura dei quotidiani fatti di cronaca attuale, correlati al settore dell’IT rappresenta, in modo molto chiaro e ormai, purtroppo, non più controvertibile, come si usa dire ‘carte alla mano’, il fatto che le organizzazioni e conseguentemente i dati dalle stesse trattate, indipendentemente da settore in cui operano o dalle loro dimensioni, siano inevitabilmente a rischio. Da qui deriva la necessità che la sicurezza dei dati sia messa in atto all’interno dell’azienda stessa, da parte dei soggetti che li trattano, istruiti, ai sensi dell’art. 29 del GDPR, ponendo in essere misure tecniche e organizzative adeguate.

Le ‘misure minime’ non bastano più

Uno dei principi cardine, derivanti dalla applicazione delle disposizioni del Regolamento Generale 679/2006 in materia di protezione dei dati personali (il GDPR), e in particolare di quelle dell’art. 32, dedicato proprio alle misure di sicurezza che il titolare e il responsabile di un trattamento sono solidalmente obbligati a garantire, in base al principio di accountability, sulla base di una adeguata valutazione dei rischi, sia da un punto di vista tecnico sia da un punto di vista organizzativo, è quello in base al quale la protezione del patrimonio immateriale digitalizzato di una organizzazione, oltre che con una appropriata gestione di incidenti informatici derivanti da minacce esterne, a cui si connettono soventemente ipotesi di spionaggio, violazione della proprietà intellettuale, data breach e compromissione della reputazione aziendale, dovrebbe essere messa in atto mediante l’adozione di best practices, a partire dal perimetro aziendale.

In particolare, a seguito dell’introduzione del Regolamento (UE) 2016/679 non sono più previste misure cosiddette ‘minime’ di sicurezza, come era previsto all’articolo 33 Codice Privacy e Disciplinare tecnico in materia di misure minime di sicurezza, ma è prescritto, ex art. 32, l’obbligo di adottare misure tecniche ed organizzative ‘adeguate al rischio’, in capo al titolare e ai responsabili del trattamento, i quali dovranno effettuare una valutazione in relazione ai rischi specificatamente individuati, e prendendo in considerazione, ambito, contesto e finalità del trattamento e, altresì, lo stato dell’arte, ovvero l’evoluzione tecnologica, e i costi di attuazione.

Cosa si intende per ‘stato dell’arte’?

In questo ambito vale la pena osservare come uno dei parametri da considerare nella determinazione del livello quantitativo e qualitativo di sicurezza da impiegare nella protezione dei dati personali, particolari e non, oggetto di trattamento, da parte di un titolare, anche mediante l’impiego di sistemi elettronici di elaborazione, sia costituito, in realtà, da una nozione, quella di stato dell’arte, dai contenuti non perfettamente e uniformemente definiti all’interno dei principi che sorreggono l’applicazione delle norme in materia di protezione dei dati personali nei vari ordinamenti giuridici degli altri Paesi europei.

In effetti il valore semantico da attribuire all’espressione ‘stato dell’arte’, con la quale è stata tradotta, per esempio, dall’inglese, anche essa lingua ufficiale dell’Unione Europea, la corrispondente espressione ‘state of the art’, sembra essere diverso, dovendosi attribuire, ad esso, nella lingua inglese il senso di conoscenze più evolute, mentre in quella italiana di consolidamento della scienza e della tecnica, con evidenti potenziali differenze sostanziali nei meccanismi interpretativi dei giudici che, di volta in volta, potrebbero essere chiamati, anche in relazione a fattispecie verificatesi al di fuori dei loro confini nazionali, a valutare la misura dell’adempimento alle norme in materia di protezione dei dati personali.

Uno standard viene in aiuto

In questo contesto non può che accogliersi con favore, in un’ottica di coerenza interpretativa, cioè di individuazione di parametri condivisi di applicazione eurounitaria delle norme, la recente adozione dello standard ISO/IEC 27701:2019 Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines, che specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione delle informazioni sulla privacy (PIMS) sotto forma di estensione di ISO / IEC 27001 e ISO / IEC 27002 per la gestione della privacy nel contesto dell’organizzazione.

Adottare misure commisurate al rischio

Ciò chiarito, non vi è dubbio che le misure di sicurezza attuate debbano garantire un livello di sicurezza adeguato all’eventuale rischio che può configurarsi, ad esempio la distruzione, la modifica, la perdita, la divulgazione non autorizzata ovvero l’accesso, accidentale o illegale, ai dati personali trattati. Con l’obiettivo di abbassare il rischio ad un livello accettabile. Deve essere inoltre essere garantita la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento. Con resilienza di un sistema informativo si identifica la capacità del sistema all’adattamento alle condizioni d’uso e la capacità di resistere all’usura al fine di garantire la disponibilità dei servizi. Le misure tecniche e organizzative previste dall’art 32 GDPR comprendono, tra le altre, la pseudonimizzazione e la cifratura dei dati. Dando per condivisa la nozione di base degli effetti dell’adozione di tecniche di cifratura, nello specifico, mediante la pseudonimizzazione i dati personali sono trattati in modo tale che non possano essere attribuiti a un interessato determinato senza far ricorso a ulteriori informazioni, le quali devono essere conservare in modo separato e che siano sottoposte a misure tecniche e organizzative volte a garantire la non attribuibilità a un soggetto identificato o identificabile.

Investire sulle competenze

L’elencazione delle fattispecie indicate all’Art. 32 non è esaustiva, in quanto il Responsabile ed il Titolare del trattamento hanno l’obbligo di valutare caso per caso i rischi, e nonostante l’Autorità garante non abbia previsto misure ‘minime’, come era previsto in precedenza, ciò non esclude che la stessa Autorità possa definire linee guida fondate sulla base dei risultati conseguiti.

Lo stesso articolo 32 stabilisce inoltre che, per dimostrare la conformità ai requisiti di cui sopra può essere utilizzata l’adesione ad un codice di condotta o a un meccanismo di certificazione. Inoltre, chiunque agisca sotto l’autorità del titolare e del responsabile del trattamento e abbia accesso a dati personali deve essere opportunamente istruito sui suoi obblighi.

Da un punto di vista pratico, a fondamento di un comparto aziendale protetto, il titolare dell’impresa dovrà, nel rispetto della vigente normativa, mettere in atto comportamenti atti a far sì che il personale dipendente sia informato sul buon uso degli strumenti digitali messi a disposizione dall’azienda, e sugli eventuali controlli sugli stessi, evitando altresì ogni interferenza sui diritti e sulle libertà fondamentali del lavoratore stesso. Tra le misure tecniche e organizzative vengono altresì indicate la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico e una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Come attrezzarsi

Dal punto di vista della sicurezza logica al fine di tutelare la proteggibilità del dato è opportuno, oltre che dotarsi di antivirus e firewall, anche mettere in atto accorgimenti pratici come, ad esempio, tenere traccia degli accessi e delle operazioni effettuate dagli utenti nel sistema informatico attraverso un sistema di gestione dei file di log, ovvero l’adozione di procedure atte alla custodia di copie in sicurezza, il backup ovvero sistemi di ripristino dei dati e dei sistemi, mettendo così in atto un piano di disaster recovery volto a ripristinare la disponibilità e l’accesso ai sistemi e alle infrastrutture aziendali, e infine, ma non per ultimo, la previsione di sistemi di autorizzazioni per l’accesso ai device o ai sistemi informatici, individuando procedure di autenticazione di gestione delle credenziali di accesso.

Giuseppe Serafini

Avvocato del Foro di Perugia. BSI - ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer; perfezionato in Digital Forenscis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giu...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 196

Officelayout

Progettare arredare gestire lo spazio ufficio
Gennaio-Marzo
N. 196

Abbonati
Innovazione.PA n. 53

innovazione.PA

La Pubblica Amministrazione digitale
Gennaio-Febbraio
N. 53

Abbonati
Executive.IT n.1 2024

Executive.IT

Da Gartner strategie per il management d'impresa
Gennaio-Febbraio
N. 1

Abbonati