Trattamento dei dati, competenze del Dpo, gestione del rischio: sono solo alcuni dei temi su cui si è dibattuto durante l’evento “Sicurezza e Privacy a Gdpr applicabile” organizzato dalla Digital Transformation Academy (School of Management, Politecnico di Milano) con l’obiettivo di capire, dialogando con le aziende ospiti presenti, quali sono le criticità che, passata la data del 25 maggio, restano comunque per le imprese sfide tutt’altro che risolte.
Un primo spunto di riflessione che arriva da Gabriele Faggioli, Responsabile Scientifico, Osservatorio Information Security & Privacy, Politecnico di Milano, Presidente del Clusit è infatti proprio quello del ritardo delle imprese rispetto alle tempistiche indicate dal garante: “Secondo le nostre ricerche il mercato dell’Information security è già cresciuto del +12% nel 2017 sul 2016, dell’+8% nel 2016 sul 2015; crediamo però che l’aumento più forte avverrà solo quest’anno e l’anno prossimo, perchè a dispetto delle scadenze, molte realtà sono arrivate solo adesso a chiudere l’analisi dei rischi e a far partire i progetti di implementazione tecnologica”. Premesso questo, ecco alcune delle sfaccettature della normativa considerate critiche secondo le riflessioni emerse durante il dibattito.
Who's Who
Gabriele Faggioli
Tra le novità introdotte dal GDPR vi è l’obbligo – art. 30 – della tenuta del Registro dei Trattamenti (documento solo in parte sovrapponibile a quello già richiesto dal DPS nell’allegato B, punto 19); il Registro deve contenere tutte le informazioni che identificano finalità del trattamento e modalità di conservazione dei dati, misure di sicurezza applicate ed elementi necessari per verificare che gli obblighi normativi siano correttamente rispettati. Secondo i presenti all’evento la compilazione del Registro è una delle attività legate al GDPR più complesse da gestire e in particolare rappresenta una criticità, tra le altre, il capitolo dedicato alla definizione dei tempi di conservazione dei dati e dalla loro conseguente cancellazione (che deve avvenire non appena questi non siano più necessari rispetto alle finalità per le quali sono stati raccolti, dice la normativa) e del diritto all’oblio (articolo 17 del GDPR). “Sono argomenti su cui mai prima c’era stata così tanta attenzione – dice Faggioli – Per molte aziende non è semplice stabilire e rispettare delle prassi di cancellazione adeguate alla normativa”; come sottolineato dai presenti, poiché è evidente il valore di business che i dati possono avere negli attuali modelli economici, tante realtà – molte banche, per esempio – per anni hanno seguito la prassi di accumulare informazioni senza porsi particolari limitazioni, seguendo la filosofia del “non si elimina niente perché tutto potrebbe tornare utile”. È un’abitudine che dovrà cambiare, ma non è facile, a detta di alcuni presenti, modificare certi processi consolidati negli anni.
Molte poi le questioni che ruotano attorno al Dpo, tra cui quella delle competenze: se è comprensibile che l’estrazione professionale sia spesso legale o legata al mondo dell’audit, è altresì importante che questa persona abbia delle competenze tecnologiche: “Deve almeno avere un’idea dei trend tecnologici, come l’Iot, il cloud, l’intelligenza artificiale, che stanno cambiando il mondo, le aziende i loro modelli di business; deve poter formulare le giuste domande, a cui eventualmente qualcun altro, più tecnico, potrà poi dare risposta”. Su questo tema anche Claudio Telmon, Senior Advisor, Technical Commitee e Board of Directors, Clusit, commenta: “Se non si hanno delle competenze tecnologiche di base, come posso farmi un’opinione sui rischi e gli impatti che un nuovo servizio, progetto o processo può avere in termini di sicurezza?”.
Who's Who
Claudio Telmon
Poiché gli ambienti aziendali diventano sempre più ibridi e multi cloud, è chiaro che diventa un nodo centrale in tema privacy il rapporto tra aziende e fornitori di servizi sulla nuvola. La normativa obbliga le aziende a vagliare, rivedere e aggiornare i contratti implicanti un trattamento dei dati personali. Il Regolamento stabilisce contenuti contrattuali puntuali e specifici che devono connotare gli accordi tra le imprese che esternalizzano il trattamento di dati personali (data controller), e i fornitori di servizi esternalizzati (data processor) incaricati di detto trattamento (siano essi un outsourcer tradizionale o un cloud service provider). Sono operazioni che stanno generando un’alta mole di lavoro soprattutto ai fornitori, che si trovano a dover rispondere, caso per caso, alle garanzie che ciascun cliente richiede. Secondo Faggioli, in prospettiva potremmo aspettarci delle evoluzioni su questo punto: “Un po’ come quando saliamo su un treno diamo per scontato che i freni siano correttamente funzionanti, e non ci preoccupiamo noi di verificare che lo siano, è possibile che un domani allo stesso modo non sarà necessario che le aziende si preoccupino di richiedere direttamente ai fornitori cloud delle garanzie in ambito security [i controlli verranno gestiti in altri modi, non saranno più a carico delle singole aziende – ndr]”.
Sul piano organizzativo, la normativa prevede un ripensamento profondo dei processi e degli strumenti che si legano alla sicurezza dei dati sensibili; al ripensamento di queste policy, operazione di per sé non semplice, può aggiungersi un ulteriore livello di complessità quando si parla di gruppi e realtà aziendali multinazionali: può essere problematico stabilire come impostare la governance del processo di adeguamento, se e come centralizzarla, quali autonomie lasciare alle singole realtà nazionali, come gestire, quando si vuol tendere alla centralizzazione, l’eterogeneità tecnologica e di processi propria di sistemi aziendali così estesi. Alcuni presenti hanno sottolineato come la volontà della casa madre di centralizzare i processi di adeguamento – con un solo DPO per tutte le country – stia rallentando i ritmi di adeguamento, anche sull’onda della convinzione che nella sostanza vi sia ancora tempo per adeguarsi prima che effettivamente vi sia il rischio di interventi sanzionatori.
Servono nuove logiche: security by design e gestione del rischio
Adeguarsi alla normativa significa anche cambiare logiche e prospettive del modo in cui si affronta in azienda il tema della gestione della sicurezza e del rischio adottando un approccio di Protection by Design (art. 25 della normativa); come spiega Telmon, ogni volta che viene sviluppato, ‘disegnato’, un prodotto, un servizio, un processo è necessario prima fare una analisi dei rischi e una valutazione degli impatti che un incidente potrebbe avere sui soggetti interessati al trattamento (DPIA-Data Protection Impact Analysis, art. 35).
Qui si aprono per le aziende altre criticità: “Nell’attesa che si sviluppino nel tempo delle ‘buone pratiche’ che possano offrire dei riferimenti più precisi, le imprese si domandano cosa intende il garante con termini e concetti quali impatto elevato in caso di incidente, rischio accettabile, equilibrio corretto tra i costi delle misure da introdurre e la loro efficacia” (nella Figura 1 un passaggio della normativa che rende chiaro l’altro grado di interpretabilità della norma).
Si pensi, per esempio, alla pseudonimizzazione, che il GDPR raccomanda di incorporare nella privacy-by-design. Secondo il garante deve essere applicata in modo più o meno pervasivo? Anche i progetti già in essere devono essere adeguati? La tecnica, spiega Telmon, è molto valida sul piano della sicurezza (i dati vengono conservati in una forma che impedisce l’identificazione del soggetto senza l’utilizzo di informazioni aggiuntive, e che dunque riduce i rischi effettivi in caso di esposizione degli stessi) e facile da introdurre nei nuovi servizi, ma difficile da applicare su quelli già esistenti; “Molte difficoltà – dice Telmon – sono derivate dal fatto che, come cattiva pratica, in tanti sistemi i dati identificativi, quali codice fiscale o nome e cognome, sono utilizzati come chiavi di indicizzazione; se i dati sensibili sono la base del sistema stesso di indicizzazione, diventa chiaramente difficile lavorare sulla loro pseudonimizzazione”. In situazioni simili un adeguamento rigoroso della normativa comporterebbe una mole di lavoro particolarmente difficile da gestire; le aziende si stanno interrogando per capire la fattibilità di interventi di questa portata e il livello di rigore con cui il garante applicherà la normativa.
Per approfondire queste tematiche vai al canale Search Security di ZeroUno