Le misure di sicurezza tra GDPR e ISO 27001
Due normative a confronto e i possibili scenari prospettabili
di Raffaele Riccio
GDPR e sicurezza dei dati personali
L’attuale normativa europea in materia di protezione dei dati personali pone ai Titolari e ai Responsabili del trattamento dei dati numerosi adempimenti, molti dei quali di non semplice e pronta attuazione. In particolare, tra questi ne emerge uno di assoluta praticità e concretezza: l’adozione di “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. È così, infatti, che dispone l’art. 32 GDPR rubricato “Sicurezza del trattamento”. L’adempimento del suddetto obbligo appare ictu oculi complesso, dal momento che sui Titolari e sui Responsabili del trattamento incombe l’individuazione e l’adozione delle misure di protezione e prevenzione per la sicurezza dei dati e, al tempo stesso, la normativa non indica né suggerisce in modo specifico un elenco di misure cui attingere (eccezion fatta per lo sporadico riferimento alla pseudonimizzazione e alla cifratura). Il suddetto art. 32 GDPR affida ai soggetti responsabili la scelta delle misure, indirizzandone l’adozione in base al principio di adeguatezza e “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Il legislatore comunitario certamente non brilla in trasparenza e chiarezza e, al di là di quanto si possa pensare, la medesima situazione si presentava anche nel vigore della precedente disciplina normativa anteriore al GDPR. Il vecchio allegato B del D.lgs. 196/2003 (oggi abrogato dal D.lgs. 101/2018[1]), infatti, elencava solamente alcune delle numerosissime misure di sicurezza esistenti per la tutela dei dati personali; si trattava, infatti, di previsioni relative a basilari misure informatiche insufficienti a garantire la massima sicurezza di tutti i processi e i trattamenti di dati effettuati anche senza strumenti elettronici. L’evidenza ed attuale esigenza, dunque, è quella di fornire ai Titolari e ai Responsabili del trattamento degli strumenti concreti per individuare e scegliere idonee e adeguate misure di sicurezza ed essere in grado di dimostrarne la concreta adozione.
Innanzitutto, la corretta identificazione delle misure di sicurezza deve necessariamente essere effettuata dal Titolare o dal Responsabile del trattamento solo dopo aver compiutamente individuato e analizzato tutti gli asset aziendali (cartacei e informatici) e i relativi rischi a cui sono sottoposti. Un simile lavoro può svolto mediante la predisposizione di un registro dei trattamenti, a seguito della conduzione di un vero e proprio privacy audit[2], necessario per comprendere quali sono le misure di sicurezza già adottate nonché le minacce in grado di compromettere la confidenzialità, l’integrità e la disponibilità dei dati personali[3]. Una volta eseguita la valutazione dei rischi, il Titolare deve poter valutare come mitigare e gestire i rischi individuati.
L’esatta ricostruzione dell’organizzazione in cui opera il Titolare o il Responsabile del trattamento costituisce un’operazione di partenza indispensabile: la contestualizzazione delle operazioni di trattamento è fondamentale per inquadrare le tipologie di misure verso cui orientarsi[4]. Si pensi, solo per citare alcuni esempi, che la scelta delle misure di sicurezza varierà a seconda che si tratti di un contesto bancario o sanitario, un ambito pubblico o privato, una realtà di grandi dimensioni o una realtà medio-piccola.
Classificazione delle misure di sicurezza
Il GDPR fa riferimento a due ampie categorie di misure, quelle tecniche e quelle organizzative[5]. Una simile impostazione è seguita anche nelle Linee Guida Enisa (Dicembre 2017) sulla sicurezza nel trattamento dei dati personali[6]: qui, inoltre, le misure (tassativamente individuate nell’allegato A del medesimo manuale) sono suddivise in ulteriori tre sottocategorie in base ai livelli di rischio (basso, medio, alto) connessi ai trattamenti dei dati personali. Nella letteratura specifica[7], invece, le misure vengono tradizionalmente classificate in tre categorie: quelle volte a garantire la sicurezza organizzativa (processi interni per il mantenimento della sicurezza, policy per i processi gestionali, procedure di gestione di data breaches), quelle relative alla sicurezza logica e tecnologica (concernenti software e strumenti IT, sistemi di autenticazione, antimalware, firewall, backup, monitoraggi, scansioni delle vulnerabilità, aggiornamenti dei sistemi) e quelle relative alla sicurezza fisica (si pensi alla sicurezza dei locali, degli edifici, degli archivi e, quindi, alle misure antincendio, antifurto, ai controlli degli accessi e alla sicurezza ambientale). L’obiettivo di tutte le suddette misure è, in ogni caso, quello di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento. Già il Garante per la protezione dei dati personali aveva adottato un elenco di misure di sicurezza esemplificativo ai tempi dell’entrata in vigore della prima disciplina italiana in materia di privacy[8]. L’elenco è successivamente ampliato soprattutto grazie all’opera degli operatori direttamente coinvolti nella gestione dei sistemi di implementazione della privacy.
ISO 27001:2017 e sicurezza delle informazioni
Al fine di agevolare le scelte a carico dei Titolari e dei Responsabili del trattamento dei dati, già da alcuni anni è in uso uno standard di sicurezza delle informazioni in grado di ricomprendere una vasta panoramica di misure di sicurezza predefinite e da implementare, proprio come richiesto dal GDPR. Si tratta della UNI EN ISO/ IEC 27001: 2005 (la cui ultima edizione è aggiornata all’anno 2017), norma standard internazionale per la sicurezza delle informazioni, creata allo scopo di definire i requisiti per stabilire, implementare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni (anche solo SGSI) di qualsiasi organizzazione e utilizzabile per certificare la conformità di un sistema informativo a tale modello standard. In particolare, essa contiene una serie di best practices utili per sviluppare la capacità delle aziende di gestire i rischi legati alla protezione dei dati[9].
La peculiarità dello standard ISO 27001 è costituita dal raggio di operatività decisamente più ampio rispetto agli obiettivi del GDPR: la norma internazionale, infatti, aiuta a proteggere non soltanto i dati personali raccolti e trattati dal Titolare o dal responsabile del trattamento, ma tutto il patrimonio di informazioni (finanziarie, economiche) gestite dai predetti, in qualsiasi forma esse siano conservate (cartecea o elettronica), costituendo esse un vero e proprio bene da tutelare. Anche in questo, la norma tecnica in esame, conformemente a quanto disposto dal GDPR, consente alle figure privacy interessate di effettuare una scelta tra le varie misure proposte sulla base di una preventiva valutazione dei rischi. Anche la ISO 27001, infatti, utilizza i concetti di risk management (risk-based approach) come base per decidere azioni e misure da adottare per garantire la sicurezza dei dati e delle informazioni. Il suddetto standard può essere utilizzato come criterio guida da qualsiasi soggetto (persona fisica o giuridica, ente pubblico o privato, associazioni) che intende gestire i rischi relativi alla sicurezza di dati e informazioni oggetto di operazioni di trattamento.
A proposito delle misure di sicurezza, la ISO 27001 è molto specifica perché nella sua seconda parte, all’interno del cosiddetto Annex A, raccoglie un vero e proprio catalogo di misure da adottare per contrastare e/o mitigare i rischi di perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati. In particolare, il catalogo prevede ben 114 misure (“controlli”) di sicurezza divise in 14 diverse aree (per citarne alcune: politiche per la sicurezza delle informazioni, gestione delle risorse, sicurezza fisica e ambientale, controllo degli accessi, sicurezza delle operazioni e delle comunicazioni, gestione degli incidenti relativi alla sicurezza delle informazioni, organizzazione della sicurezza delle informazioni).
La scelta delle misure da adottare nel caso di specie dal singolo Titolare o Responsabile del trattamento potrà essere condotta al termine di un vero e proprio “progetto ISO 27001” che parte da un’analisi delle lacune esistenti in materia di sicurezza delle informazioni e termina con una fase progettuale di miglioramento e di implementazione dei controlli di sicurezza. A guidare ulteriormente il Titolare o responsabile del trattamento nell’attuazione di un sistema di gestione della sicurezza delle informazioni è l’ulteriore norma ISO 27002 che suggerisce pratiche di condotta consigliate per l’adozione dei controlli di sicurezza previsti dalla ISO 27001.
GDPR E ISO 27001: un connubio inevitabile?
I progetti ISO 27001, su volontà del Titolare/Responsabile del trattamento, possono costituire oggetto di vere e proprie certificazioni accreditate da parte di enti indipendenti (nominati da organismi di certificazione ufficiali) per dimostrare che l’organizzazione sta seguendo le best practices relative alla sicurezza delle informazioni.
Il GDPR, a tal proposito, raccomanda l’uso di schemi di certificazione per fornire la necessaria garanzia che il Titolare sta gestendo efficacemente i rischi relativi alla sicurezza dei dati[10].
Già in passato il Garante per la protezione dei dati personali aveva contribuito a gettare un ponte tra i SGSI e la normativa in materia di protezione dei dati personali riconoscendo, in particolare, che la presenza di un sistema di gestione per la sicurezza delle informazioni – anche se non certificato – è considerata una prova di esistenza di controlli di sicurezza adeguati e, dunque, una forma di dimostrazione tangibile di conformità e rispetto della normativa sulla sicurezza dei dati[11].
Non è errato, dunque, poter pensare alla normativa in materia di privacy e alla ISO 27001 alla stregua di un sistema integrato della sicurezza dei dati e delle informazioni. La ISO 27001 è uno dei più dettagliati standard di best-practices certificabili e, a tal proposito, il considerando 100 del GDPR incoraggia l’istituzione di meccanismi di certificazione nonché marchi di protezione dei dati che consentano di valutare rapidamente il livello di protezione dei dati prodotti e dei servizi. Gli artt. 24, co. 3, 28, co. 5, 32, co. 3 e 42 GDPR specificano che l’adesione ai codici di condotta e alle certificazioni approvate, proprio come la ISO 27001, può essere considerata un elemento dimostrativo della conformità, in ossequio al principio di responsabilizzazione (accountability). È bene però evidenziare che nulla di tutto ciò è attualmente prospettabile come dato certo dal momento che una certificazione ISO 27001 non svincola automaticamente il Titolare e/o il Responsabile del trattamento da eventuali responsabilità per violazioni di dati se, nonostante la dimostrazione di adeguamento tramite la suddetta certificazione, l’organizzazione non è riuscita a evitare una violazione. La garanzia di una certificazione, infatti, non recide mai definitivamente il rischio di verificazioni di eventi dannosi relativi alla sicurezza dei dati ma, al massimo, ne attenua le possibilità di accadimento e, conseguentemente, le relative responsabilità per coloro che trattano i dati e le informazioni.
Ai sensi degli artt. 42 – 43 -57 -48 GDPR, le certificazioni possono essere rilasciate dagli organismi di certificazione o dall’autorità garante. A loro volta gli organismi di certificazione sono accreditati dalla predetta autorità competente o dall’organismo nazionale di accreditamento.
[1] Sciaudone R., La rivoluzione copernicana della privacy trova ilo suo epilogo il 19 settembre con l’entrata in vigore del D.lgs. 101/2018, in Il nuovo codice privacy, Guida normativa, Il Sole 24 Ore, Settembre 2018, p. 4.
[2] Per approfondimenti sulla conduzione di un privacy audit si vedano: Emegian F, Perego M., Privacy & Audit, Ipsoa – Guide operative, 2018; Gorla S., Iaselli M., Tacconi G., Gli Audit privacy secondo il nuovo Regolamento europeo GDPR 2016/679, Iter srl, 2018.
[3] Lucatorto G., Dalla valutazione del rischio parte la programmazione di misure di sicurezza adeguate, in Il nuovo codice privacy, Guida normativa, Il Sole 24 Ore, Settembre 2018, p. 61 ss.
[4] Tosatti C., Privacy e Data Protection, Dei Giuridica, 2018, p. 124 ss.
[5] Si vedano, in particolare, gli artt. 24 e 32 GDPR e il considerando 74 del Regolamento medesimo.
[6] ENISA, Manuale sulla Sicurezza nel trattamento dei dati personali, Dicembre 2017.
[7] A titolo esemplificativo, si veda: Butti G., Piamonte A, GDPR Nuova Privacy – La conformità su misura, ITER Editore, 2017;
[8] Garante per la protezione dei dati personali, Modello per Notificazione del trattamento dei dati personali (art. 7, 16, 28 legge 31 dicembre 1996 n. 675).
[9] Per approfondimenti: Gallotti C., Sicurezza delle informazioni: valutazione del rischio; i sistemi di gestione la norma ISO/IEC 27001:2013, Lulu.com, 2017; Mattana G., Scheda informativa su nuove norme –International standard ISO/IEC 27001:2013 – Tecniche per la sicurezza, disponibile sul sito web www.aicqna.it
[10] Per approfondimenti sul tema delle certificazioni si veda: Giannetti R., Gdpr, certificazione e accreditamento: che c’è da sapere, in Agenda Digitale, 16 ottobre 2018; Articolo 29 – WP173 – Parere 3/2010 sul principio di responsabilità, 13 luglio 2010; Tosatti C., Privacy e Data Protection, Dei Giuridica, 2018, p. 125 ss.
[11] Emegian F., Perego M., Privacy & Audit, Ipsoa 2018, p. 23 ss.