12 Maggio 2019: le falle di sistema al cospetto del regolamento (UE) 2016/679

12 Maggio 2019: le falle di sistema al cospetto del regolamento (UE) 2016/679

“12 Maggio 2019[1]: le falle di sistema al cospetto del regolamento (UE) 2016/679”.

“Tutto quello che fai sulla rete produce dati.
 Questi dati, aggregati, sono di estremo valore (…).
Con un grande numero di dati su quello che fai e su quello che dici,
sta diventando possibile fare marketing su di te
in un modo diretto ed effettivo”.[2]

A fronte dell’obiettivo di proteggere il dato personale dal cambiamento di scenario tecnologico che ha visto sempre più la distribuzione del dato mediante strumenti informatici privati e pubblici, aumentano in modo esponenziale i rischi di esposizione delle persone[3] a forme illegittime di intrusione nella propria sfera privata e di spoglio della propria identità come testimoniato dai numerosi “data breaches”. Si tratta di quelle «falle» o «rotture» che possono compromettere il processo di trasmissione delle informazioni sul quale si basa la società delle telecomunicazioni. Ed è proprio l’espansione inarrestabile della circolazione dei dati, a rendere oggigiorno, più rilevante il problema delle «falle» di sistema.

Maggio 2017 è stata una data molto difficile per il mondo dell’informatica a causa della diffusione massiccia di un “malware”[4], noto come “WannaCry”, che ha messo in ginocchio migliaia di computer colpendo circa 70 Paesi, tra cui l’Italia. L’attacco ha bloccato in maniera diffusa i computer mediante l’invio di mail contenenti un malware in grado di prendere possesso del computer e di chiedere all’utente un riscatto, pena la perdita di tutti i dati ivi contenuti, al fine di ottenere una chiave che permetta la restituzione del controllo sul proprio dispositivo. WannaCry è riuscito a diffondersi sfruttando bug di Microsoft già erano noti all’azienda ma di fatto irrisolti nella mancata attuazione dei necessari aggiornamenti dei computer colpiti. Di talché l’importanza di adottare misure di prevenzione oltreché di repressione rispetto ad eventuali attacchi informatici.

Rientrato l’allarme e gestita la crisi, non è ancora il momento di sentirsi al sicuro[5]. Appare, allora, quanto mai necessario, intervenire per proteggersi da eventuali futuri furti o alterazioni di dati. In questo contesto, si inserisce la tutela garantita dal regolamento europeo del 27 aprile 2016, n. 679, che porta le aziende ad operare una seria revisione delle loro strategie di Continuous Vulnerability Assessment, data processing e cybersecurity. Adottare soluzioni per consentire ai titolari e/o Responsabili del trattamento l’efficienza e la sicurezza di tutti i sistemi che raccolgono, archiviano e gestiscono dati personali in maniera conforme al GDPR. Una gestione semplice ed efficiente delle misure di sicurezza che riguardano l’intero ciclo di vita dei dati è essenziale per l’attuazione del GDPR: dall’acquisizione alla produzione di informazioni, includendo i sistemi alla divulgazione per arrivare all’archiviazione fino alla loro distruzione. Le misure preventive, riassumibili nella c.d. privacy by design, sono a livello organizzativo con la (separazione dei compiti, concetto di ruolo e responsabilità, gestione degli utenti e loro diritti, gestione degli accessi fisici, rintracciabilità, misurazione, controlli e verifiche, gestione degli asset e dei supporti rimovibili, istruzione e promozione della consapevolezza) e tecnico.

Indicazioni e controindicazioni per “l’(ab-)uso”

Il punto di partenza del regolamento è stabilire cosa si intende per violazione dei dati personali in modo da chiarire se e quando le aziende vittima di un attacco informatico possono incorrere in sanzioni per mancato adempimento delle clausole previste dallo stesso. Innanzitutto, l’art. 4, § 12, il quale afferma che per violazione dei dati personali si intende a “breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted stored or otherwise processed”. Nel caso di WannaCry, i dati dei clienti delle aziende o enti colpiti sono stati senza ombra di dubbio oggetto di un accesso illegale e sottoposti al rischio di perdita o alterazione. Così, in modo non dissimile, l’art. 5, § 1 precisa che i dati personali dovrebbero essere “processed lawfully, fairly and in a transparent manner in relation to the data subject (“lawfulness, fairness andtransparency”). In altri termini, deve essere assicurata una protezione contro l’elaborazione non autorizzata o illegale e contro perdite, distruzioni o danni accidentali adottando le adeguate misure tecniche o organizzative per assicurare un livello di sicurezza appropriato. A tal proposito, per valutare l’adeguato livello di sicurezza l’art. 32, § 2, specifica che “in  assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed”.

Se tale regolamento fosse già entrato all’epoca, molte aziende, non provvedendo ad attuare le adeguate misure di protezione che avrebbero sopperito alle vulnerabilità dei sistemi, sarebbero incorse colpevolmente in un trattamento non autorizzato o illegale dei dati dei clienti. Questa vicenda mette, allora, in luce l’importanza di tale regolamento, elaborato per raggiungere uno scopo preciso: assicurare la protezione dei dati personali e una maggiore sicurezza rispetto al sopravvenire di un attacco informatico. In che modo?

I Dati Da Proteggere

Mettere a regime la capacità di assicurare la continua riservatezza, integrità, disponibilità[6] e resilienza dei sistemi e dei servizi che trattano i dati personali deve partire da un presupposto fondamentale: capire di quali dati dispone la propria organizzazione, dove si trovano e chi ne è responsabile. A questo proposito, realizzare e mantenere un registro dei dati garantisce che tutte le misure preventive di seguito introdotte facciano riferimento e includano tutte le risorse dati rilevanti. Questo si traduce in una maggiore trasparenza ma anche in una più facile tracciabilità dei processi associati alla gestione dei dati sensibili che, in caso di contenzioso o di situazioni di vulnerabilità legate ad eventuali furti di dati, permette di dimostrare a un’azienda di aver agito in modo conforme alla normativa. Grazie a una soluzione di Continuous Vulnerability Assessment i risultati delle scansioni possono essere utilizzati per contribuire alla redazione dei Registri delle attività di trattamento e delle Valutazioni di impatto sulla protezione dei dati.

Gestione delle identità e degli accessi

Appare interessante notare come già Lessig[7], evidenziava che sarebbe opportuno che ogni individuo si potesse disporre di: a) una piattaforma di “Privacy Preferences” mediante la quale si dovrebbe poter definire le impostazioni privacy che si pretende vengano rispettate. Tali impostazioni verrebbero poi confrontate con le impostazioni dei servizi che si vogliono usare generando specifiche segnalazioni nel caso in cui i dati usati dal provider non corrispondano con le impostazioni definite dall’utente; b) Una “Identity Layer”, un protocollo che certifichi un insieme di credenziali del soggetto al quale si riferisca, come ad esempio l’età, la provenienza, ecc.. Grazie a questo tipo di certificazione, l’utente che si registra presso un servizio online che richiede determinati dati per l’accesso, non sarebbe obbligato a fornire una mole di dati di gran lunga maggiore a quella in realtà necessaria, ma unicamente ad identificarsi. I dati non sarebbero forniti, ma solo garantiti dal certificato dell’Identity Layer. Grazie a questi due elementi, si potrebbe, secondo Lessig, trovare un corretto equilibrio non solo al diritto all’oblio, ma, in generale, sull’identità digitale.

Con il GDPR, il Tirolare del trattamento deve dimostrare di adottare un approccio proattivo alla gestione dell’accesso ai dati sensibili. Adottare una soluzione IAM (Identity Access Management) aiuta le aziende a soddisfare i requisiti di conformità relativi alla separazione dei ruoli, permettendo di applicare policy di accesso per account e informazioni personali. Il sistema IAM garantisce una tracciabilità importante in merito a chi ha effettuato il log-in, quando e a quali dati ha avuto accesso. Integrando una soluzione di Continuous Vulnerability Assessment, le aziende possono monitorare le security policy, identificare e tracciare le vulnerabilità e soprattutto documentare le azioni correttive messe in campo. Il tutto assicurando anche la governance delle identità in modo che l’organizzazione possa mantenere la conformità in modo continuativo e regolare.

Analisi dei rischi

Effettuare regolari valutazioni dei rischi per individuare eventuali potenziali pericoli per i dati dell’organizzazione. Dovrebbero, quindi, essere esaminati tutti i tipi di rischi dalla violazione dei dati online, ai punti deboli nel sistema di sicurezza aziendale, stabilendo un preciso piano d’azione per evitare danni, riducendo così il rischio di dover poi far fronte a una violazione fonte di responsabilità non più ex art. 2050 c.c. per attività pericolosa, bensì la nuova forma di responsabilità autonoma tratteggiata dal GDPR[8]. Adottare una soluzione di Continuous Vulnerability Assessment assicura alle organizzazioni un monitoraggio costante di infrastrutture, applicazioni e sistemi, garantendo non solo una maggiore sicurezza dei dati soprattutto delle particolari categorie di dati.

All’uopo l’art. 30 del GDPR prevede l’istituzione e la tenuta del Registro dei Trattamenti. Il Registro non solo deve contenere tutte le informazioni che identificano finalità del trattamento e modalità di conservazione dei dati ma deve anche riportare le misure di sicurezza applicate e tutti gli elementi necessari a verificare che gli obblighi normativi siano correttamente rispettati come ad esempio il tempo di conservazione dei dati. Anche questa è una novità, rispetto alla sovente abitudine di accumulare i dati sensibili per finalità legate a iniziative di marketing più o meno strategico. Nel caso l’interessato ritenesse non lecito il trattamento di un dato che lo riguarda oggi per legge può chiedere al titolare di limitarne l’uso.

L’analisi dei rischi viene richiesta per (art. 35): a- l’utilizzo di soluzioni tecnologiche che elaborano una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, attraverso modalità di trattamento automatiche (compresa la profilazione, sulla quale vengano prese decisioni che hanno risvolti giuridici o che impattano significativamente su dette persone fisiche: situazione economica, salute, preferenze personali, localizzazione, profili per il marketing); b- trattamenti su larga scala di particolari categorie di dati.

Tutto questo flusso di dati va tracciato in modo da condividere, in caso di violazione, una reportistica dettagliata che mostri come l’azienda abbia messo in atto tutte le contromisure necessarie.

Conservazione dei Dati

Il GDPR regolamentando la protezione dei dati va a impattare anche su tutti quegli aspetti legati ai sistemi di cifratura dei dati, alla protezione delle reti e sistemi operativi. Il responsabile del trattamento e l’incaricato del trattamento sono obbligati ad attuare una serie di misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionale al rischio. Infatti, il soggetto titolare del trattamento deve assicurarsi di avere delle procedure di cifratura dei dati e la capacità di ripristinare l’accesso agli stessi in caso di attacchi hacker o guasti tecnici. Per poter dimostrare la conformità con il regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di per impostazione predefinita: “privacy by default”. I dati, ma soprattutto le particolari categorie di dati, dunque, devono essere conservati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive riducendo i rischi effettivi in caso di una loro possibile esposizione. Pertanto, l’accorgimento delineato nella pseudonomizzazione di alcuni dati può fungere, ma non basta, ad assicurare un elevato livello di protezione.

In base alla definizione delle relazioni tra i dati si va a identificare quali sono le richieste legate alla privacy per ogni dato e per l’intero ciclo di vita dell’informazione. È a questo punto che diventa fondamentale stabilire i livelli di sicurezza dei propri sistemi. Specie quando i dati si appoggiano a servizi aperti o connessi in modo flessibile.

Una nuova cultura della Sicurezza

Il GDPR prevede che le misure di sicurezza adottate, infatti, devono essere continuamente adattate alle nuove esigenze e ai cambiamenti del contesto obbligando le aziende a rivedere e aggiornare anche tutta la gestione dei dati affidata al cloud. L’approccio nuovo, infatti, deve contemplare sistemi di monitoraggio e di controllo al fine di garantire la sicurezza del trattamento dei dati sensibili. A questo proposito, il regolamento stabilisce contenuti contrattuali[9] puntuali e specifici che devono connotare gli accordi tra le imprese che esternalizzano il trattamento di dati personali (data controller), e i fornitori di servizi esternalizzati (data processor) incaricati di detto trattamento.

 

 


[1] La data è meramente simbolica, frutto dell’invenzione: bloccate le lancette dell’orologio e spostato di due anni in avanti il calendario, la data vera da prendere in considerazione è il 12 Maggio 2017. È stato un giorno molto difficile per il mondo dell’informatica a causa della diffusione massiccia del malware WannaCry. Il “gioco” è necessario per cercare di analizzare la falla di sistema sotto l’egida del GDPR

[2] Cfr. Lessig L., Code v.2, 2006,
http://codev2.cc/download+remix/Lessig-Codev2.pdf

[3] RODOTÀ S., Il diritto di avere diritti, 2013

[4] Letteralmente “virus del riscatto”, il termine ransomware fa riferimento ad una vasta tipologia di virus in grado di bloccare il funzionamento di un computer facendo sì che l’utente non riesca a effettuare il login nel suo profilo utente o utilizzando la crittografia per rendere illeggibili i file presenti all’interno del disco rigido

[5] Franceschelli V. e Tosi E., Privacy Digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy., 2019

[6] NIGER S., Le nuove dimensioni della privacy: dal diritto alla riservatezza alla protezione dei dati personali, 2006; ZENO-ZENCOVICH V., Il codice dei dati personali, 2004; ZENO-ZENCOVICH V., Trattamento dei dati e tutela della persona, 2006

[7] Lawrence Lessig, il famoso studioso statunitense autore del “Code v2”, propone un nuovo approccio alla regolamentazione del mondo elettronico, che prevede una compenetrazione tra strumenti legislativi e strumenti tecnologici. Il concetto “code is law” esprime il pensiero secondo il quale il ciberspazio tenderà a passare da uno stato di anarchia ad uno stato di regolamentazione: è, pertanto, necessario un bilanciamento di interessi, o meglio, un bilanciamento tra la libertà del “codice” di programmazione ed il “codice” della Legge . Sin dai primi scritti legati al ciberspazio l’autore sottolinea, tuttavia, come solamente nel momento in cui questo entra nelle nostre vite allora potremmo aspettarci che la legge risolva le questioni di diritto ad esso sottese evidenziando come la legge non possa e non debba limitare le potenzialità della tecnologia. Lo studioso statunitense applica un metodo basato sulla compenetrazione tra legge e tecnologia, al fine di giungere ad un efficace bilanciamento. Lessig propone una soluzione ibrida, basata su un impianto normativo che dovrebbe garantire alcuni diritti sul controllo dei dati personali, da affiancarsi ad un’implementazione tecnica, consistente in una sorta di “mercato digitale” dove sia possibile scambiare a prezzi molto ridotti l’accesso ai dati e le relative modalità

[8] Ci si riferisce all’art. 82 c.d. GDPR

[9] VITERBO F., Protezione dei dati e autonomia negoziale, 2008

consulenza_per_privati_e_aziende          consulenza_per_avvocati

Salvis Juribus – Rivista di informazione giuridica
Ideatore, Coordinatore e Capo redazione Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
The following two tabs change content below.

Vincenzo Mario

Laureato in giurisprudenza presso l'università della Calabria con votazione di 110 e Lode e tesi in diritto processuale civile dal titolo "il principio di autosufficienza nel ricorso per cassazione civile".

Articoli inerenti