I diversi aspetti della sicurezza dei dati personali
La necessità di un sistema di protezione dei dati integrato tra sicurezza delle informazioni (c.d. Information Security), sicurezza informatica (c.d. IT Security e/o Cybersecurity) e il Regolamento UE 679/2016 (GDPR) a difesa dei diritti e libertà fondamentali della persona
di Marianna Schiavone
Per meglio comprendere il significato di tale affermazione, è necessario inquadrare con più precisione il concetto di Information Security. La norma ISO/IEC 27000:2018[3] la indica come la «preservazione della riservatezza, integrità e disponibilità delle informazioni». Queste ultime formano i c.d. “parametri RID” richiamati anche dalla Direttiva UE 1148/2016 (meglio conosciuta come Direttiva NIS) all’art. 4, n. 2 nella definizione di “sicurezza della rete e dei sistemi informativi” individuata come «la capacità di una rete e dei sistemi informativi di resistere, a un determinato livello di riservatezza, a ogni azione che comprometta la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati o trasmessi o trattati e dei relativi servizi offerti o accessibili tramite tale rete o sistemi informativi». La direttiva NIS è nata proprio con lo scopo di raggiungere un alto livello di sicurezza dei sistemi, delle reti e delle informazioni comuni a tutti gli Stati membri dell’UE. Infatti: «La direttiva NIS è cardine della strategia per la cybersicurezza che impone a tutti gli Stati membri dell’UE, alle aziende internet e agli operatori di infrastrutture principali di garantire un ambiente digitale sicuro e affidabile in tutta l’Unione».[4]
Attenzione: cybersicurezza non è sicurezza delle informazioni. Infatti, la sicurezza informatica è quella relativa alle informazioni in formato digitale e trattate dai sistemi dell’Information and communication technology[5]. In altre parole, la sicurezza informatica è un sottoinsieme della sicurezza delle informazioni.
Si può parlare di sicurezza assoluta se un sistema di protezione rispetta i parametri RID? La risposta purtroppo è no. Il concetto di “sicurezza” è fin troppo ampio, ove per sicurezza si intende lo «studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l’azienda dispone e necessita per garantirsi un’adeguata capacità concorrenziale nel breve, medio e lungo periodo».[6] Difatti la sicurezza rappresenta un processo asintotico in un mondo che evolve costantemente e richiede sia la vigilanza delle possibili minacce, sia una risposta efficace a queste. Ciò significa che oggi non si potrà evocare un meccanismo di protezione considerato efficace anni fa.
Alle caratteristiche dei parametri RID, l’art. 32, co. 1, lett. b) del GDPR ha affiancato un altro requisito: quello della resilienza dei sistemi e dei servizi di trattamento. In informatica si parla di resilienza per indicare la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati. Alla resilienza si possono aggiungere ulteriori caratteristiche meglio identificate all’interno della norma ISO/IEC 27001:2017[7] come autenticità, completezza, non ripudiabilità o anche attendibilità dei dati.
Gli standard ISO appartenenti alla famiglia 27000 nascono dalla necessità di gestire la sicurezza delle informazioni per assicurare la business continuity dell’organizzazione. Questi ed altri standard ISO presentano diversi punti in comune con il GDPR. Tra i tanti:
- ISO/IEC 27701:2019 “Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines”;
- ISO/IEC 27018:2019 “Code of practice for protection of Personally Identifiable Information (PII) in public clouds acting as PII processors”;
- ISO/IEC 29100:2018 “Privacy Framework”.
In particolare, la norma ISO/IEC 27701:2019 è nata con l’obiettivo di implementare un Privacy Information Management System all’interno di un’organizzazione che tratta dati personali aggiungendovi sia dei requisiti, sia delle linee guida per titolari e responsabili del trattamento[8].
Tenuto conto quanto detto finora, si può tratteggiare una linea di demarcazione sempre più precisa a beneficio delle complementarità e differenze che ci sono tra le normative tecniche a presidio della sicurezza informatica e delle informazioni e il GDPR a tutela dei dati personali. Ne consegue che la differenza principale tra gli standard ISO su esplicati e la normativa GDPR è nelle finalità delle stesse, per cui sarebbe più opportuno identificare gli standard ISO di cui sopra come delle integrazioni tecniche al GDPR e, più nello specifico, al suo articolo 3214 il quale stabilisce in capo al Titolare e al Responsabile del trattamento l’obbligo di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio stesso. Richiamando il piano operativo, invece, la differenza primaria sta nel fatto che gli standard ISO rappresentano normative tecniche (e/o, più semplicemente, un insieme di best practice) internazionali, ma soprattutto, applicabili su base volontaria. Il GDPR, invece, è un Regolamento dell’Unione Europea e ai sensi dell’art. 288 TFUE[9] «Il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri».
Il legislatore ha sempre richiamato il tema della sicurezza dei dati nel trattamento dei dati personali, sin dalla legge n. 675/1996. Nello specifico, quest’ultima era accompagnata dal D.P.R. 318/99 e il suo Allegato B, il quale conteneva le misure di sicurezza da applicare; solo con il D. Lgs. 196/2003 le misure di sicurezza sono entrate nel testo di legge agli artt. 33-36 fino a diventare un punto cruciale all’interno del GDPR. D’altronde, uno dei pilastri principali del GDPR è rappresentato dal principio di accountability in capo al titolare del trattamento dei dati[10] il quale va declinato assieme al tema della sicurezza. Il principio di accountability è un concetto che va al di là della semplice responsabilità/responsabilizzazione di titolare e responsabile, poiché riguarda altri aspetti quali attendibilità, affidabilità e, soprattutto, obbligo di dar conto delle proprie azioni.
Sicurezza e accountability sono un chiaro risultato di un approccio basato sul rischio sul quale un sistema di protezione dei dati deve basarsi al fine di tendere ad un’armonizzazione della tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei loro dati personali. Attraverso il risk based approach le contromisure che titolare e responsabile dei dati adottano saranno adeguate ai rischi analizzati e inerenti al trattamento. Non è tutto: l’adozione di un sistema che sia in grado di tenere traccia delle diverse attività rappresenta un elemento fondamentale per poter dimostrare sia la conformità alle norme del GDPR, sia l’esecuzione di un’attenta analisi dei rischi per i diritti e le libertà degli interessati prevedendo sin dall’inizio le garanzie minime ed adeguate ai rischi inerenti al trattamento stesso. Ci si riferisce all’art. 25 GDPR il quale sintetizza nell’espressione “protection by design and by default” altri due principi cardine della normativa europea, strettamente collegati al principio di accountability e al risk based approach. La norma impone al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate «sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso». Protection by design significa “protezione sin dalla progettazione” e si riferisce al concetto di “security by design” in ambito software, ossia la progettazione sicura di servizi, applicazioni e altri prodotti volta alla minimizzazione ab origine di potenziali debolezze e vulnerabilità che possono portare ad attacchi informatici. Protection by default è la “protezione per impostazione predefinita” che riguarda, più nello specifico, misure di minimizzazione dei dati per la quantità di dati personali, per il loro periodo di conservazione e per l’accessibilità agli stessi.
Come affermato in precedenza, la sicurezza assoluta non esiste essendo difficile avere una conoscenza completa e anticipata dell’ambiente digitale circostante. In ultima analisi, in un contesto in cui il diritto alla privacy e alla protezione dei dati personali ha acquisito una dimensione tecnologica sempre più rilevante, un sistema di trattamento dei dati integrato che rispetta le prescrizioni legali, gestionali e di sicurezza dettate dal GDPR e gli standard ISO applicabili sembra essere la miglior soluzione possibile in grado di presidiare i diritti e le libertà fondamentali della persona stabiliti dalla normativa.
[1] Secondo la norma ISO/IEC 27000:2018 un processo è l’«insieme di attività fra loro interrelate o interagenti che trasformano elementi in ingresso(input) in elementi in uscita (output)».
[2] L’art. 1 par. 2 del GDPR stabilisce, in tal senso, che: « il principio cardine del nuovo regolamento è costituito dall’autodeterminazione informativa, un concetto ben noto in Germania dove la Corte Costituzionale ha dichiarato che è una condizione necessaria per il libero sviluppo della personalità del cittadino e anche un elemento essenziale di una società democratica», da Saetta B., Regolamento generale per la protezione dei dati, in Protezione Dati Personali. Data Protection, 2021.
[3] L’International Standard ISO/IEC 27000:2018 fornisce una overview generale sui Sistemi di Gestione sulla Sicurezza delle Informazioni (SGSI o anche ISMS come acronimo inglese), nonché sui diversi standard che compongono la famiglia 27000 e definisce i diversi termini utilizzati in quest’ambito. Nello specifico, la norma ISO/IEC 27001 si occupa dei requisiti di un SGSI assieme agli standard ISO/IEC 27006:2021 e 27009:2020 rispettivamente “Requirements for bodies providing audit and certification of information security management systems” per i requisiti degli organismi di audit e certificazione dei SGSI “Sector-specific application of ISO/IEC 27001 – Requirements” per l’applicazione organica ed efficace dell’ISO/IEC 27001 in più settori.
[4] Contaldo A., Mula D., Cybersecurity Law. Disciplina italiana ed europea della sicurezza cibernetica anche alla luce delle norme tecniche, Pacini Giuridica, 2020, 44.
[5] Cfr. Gallotti C., Sicurezza delle informazioni. Valutazione del rischio. I sistemi di gestione per la sicurezza delle informazioni. La norma ISO/IEC 27001, Cesare Gallotti, 2019.
[6] Da UNI/EN ISO 10459/2015.
[7] «Le informazioni sono autentiche quando attestano la verità. Questa proprietà è caso particolare di integrità: un’informazione non autentica equivale ad un’informazione modificata senza autorizzazione. La proprietà di completezza di un’informazione richiede che non abbia carenze. Una carenza è equivalente ad una cancellazione, totale o parziale, non autorizzata di dati e quindi è un caso particolare di integrità. Un’informazione corretta, ma successivamente smentita dal suo autore è un’informazione ripudiata. [..] Un’informazione non ripudiabile, per esempio, è quella riportata da un documento firmato dal suo autore. In altre parole, un’informazione è non ripudiabile se è completa di firma o di un suo equivalente; quindi, anche questa proprietà può essere vista come caso particolare dell’integrità» da Gallotti C., op. cit., Cesare Gallotti, 2019, posizioni 499-510.
[8] La norma era conosciuta in fase di redazione come ISO/IEC 27552. Sulla scorta di quanto stabilito dall’ISO/IEC 29100, fa riferimento ai c.d. Personally Identifiable Information (PII) per indicare i dati personali e PII Principal per indicare gli interessati. Di conseguenza parla anche di PII Controllers, Joint PII Controllers, PII Processors, Subcontracted PII Processors. Si consiglia la lettura di Guasconi F., ISO/IEC 27701, la norma internazionale per certificare la protezione dei dati personali, ICT Magazine, 2019.
[9] Trattato sul Funzionamento dell’Unione Europea.
[10] Il GDPR ha recepito tale principio all’interno dell’art. 24 il quale richiama esplicitamente il Titolare, ma va evidenziato che l’art. 32 richiama sia il Titolare, sia il Responsabile del trattamento in materia di misure tecniche e organizzative.