Regolamento privacy, che bisogna fare in attesa di istruzioni precise

Dall’articolo 32 sulla Sicurezza del trattamento nel Regolamento europeo privacy, sappiamo che il titolare e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Però, a parte la menzione a titolo di esempio di “pseudonimizzazione e cifratura” e il richiamo alla riservatezza, all’integrità, alla disponibilità e alla resilienza dei sistemi, il regolamento non fornisce, giustamente, una lista precisa delle cose da fare. Al punto 3 si menzionano i codici di condotta e le certificazioni, descritti poi negli articoli 40 e 42 e successivi, come elementi che possono essere usati per dimostrare la conformità. Ma in ogni caso non si riduce la responsabilità del titolare o del responsabile riguardo alla conformità al regolamento e al momento i codici e le certificazioni non sono ancora disponibili.

Cosa può quindi fare un Pubblica Amministrazione in attesa di ricevere chiarimenti ed istruzioni?

In realtà molte cose: gli esperti di sicurezza sanno quanti problemi ci siano dietro ogni sistema informativo. Infatti, a parte rare eccezioni di modernizzazione, il software è stato acquistato o sviluppato e installato quando la cosiddetta cybersecurity non era ancora un problema. Immaginiamo di essere davanti ad un ispettore inviato dall’Autorità Garante per la protezione dei dati personali oppure di un perito inviato da un giudice per una causa legale o addirittura una class action: cosa chiederanno questi signori dopo aver sviluppato il tema organizzativo, informativa, consenso, incarichi, contratti e così via? Sugli aspetti tecnici richiesti dall’articolo 32 chiederanno prima cosa della cifratura e poi, se sarà il caso e a loro giudizio, quali misure di sicurezza sono state implementate a fronte dell’analisi del rischio. Questi signori sono esperti di sicurezza e conoscono i principi e le best practice e potrebbero interessarsi a quelli che nel Rapporto Clusit 2016 (http://www.clusit.it/rapportoclusit/) sono stati chiamati Most Common Mistakes e comprendono una superficiale autenticazione e eccessiva autorizzazione degli account sistemistici, la mancata protezione delle password usate dalle applicazioni per accedere al database, la mancata produzione di log e, mancando una diffusa gestione degli account nominativi, l’inutilità di quanto raccolto, l’uso di dati veri in ambiente di test, la mancanza di patching e l’uso di versioni dei sistemi operativi ormai desupportate, solo per menzionare alcuni errori tipici fatti nei nostri dipartimenti IT.

Basterebbe un’analisi superficiale di questi aspetti per creare una lunga lista di progetti di rimedio; le aziende e PA che intraprendono questa strada saranno premiate in fase di ispezione: il regolamento prevede la “responsabilizzazione” e tali progetti ne colgono lo spirito.

L’entità stessa delle multe previste, che devono essere effettive, proporzionate e dissuasive, tiene in conto quanto fatto dal titolare e dal responsabile del trattamento ai sensi degli articoli 25 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) e il già citato articolo 32. Infatti se ne fa menzione esplicita all’articolo 83, comma 2 lettera d) e il principio varrà a prescindere da quale sia il riferimento assoluto della multa. Per il settore Pubblico tale importo sarà deciso da ogni singolo stato membro (comma 7) mentre, per il settore privato, ammonta ad una quantità di denaro che non può non essere considerato da ogni azienda italiana o internazionale essendo espresso in valore assoluto e in percentuale sul fatturato mondiale annuo. La legge prevede 10 o 20 milioni e 2% o 4% del fatturato a seconda degli articoli violati.

Il vantaggio fornito da queste misure va oltre la sola compliance al Regolamento Europeo perché innalza la resistenza dei sistemi sia che trattino o meno dati personali. Le stesse misure, best practice e accorgimenti tecnici ed organizzativi sono applicabili rispetto ad ogni moderna compliance e ad ogni tipo di dato e di trattamento e fanno parte del bagaglio di ogni buon IT e saranno sempre più necessari. Non se ne può più prescindere.

La raccomandazione finale per ottemperare al Regolamento è quindi di attivare almeno due tavoli di lavoro necessariamente paralleli: uno sugli aspetti organizzativi e procedurali e l’altro su quelli tecnici perché anche in quest’ultimo il lavoro da fare è tanto. La cerniera è ovviamente il registro dei trattamenti e l’analisi del rischio ma non serve un esperto per dire che se non proteggo le password non sarò compliant.