Tavola Rotonda

GDPR: come garantire la compliance e aumentare il livello complessivo di sicurezza dei dati

Quali percorsi, tecnologie e sfide per essere conformi al regolamento europeo sulla tutela dei dati personali, migliorando la protezione dei dati aziendali e sensibilizzando l’organizzazione e i vertici sui temi della sicurezza. Gli esperti coinvolti nel roadshow organizzato da ZeroUno in collaborazione con Oracle e altri partner, si sono confrontati con i partecipanti delle tappe di Trento, Brescia, Ancona e Firenze

Pubblicato il 11 Gen 2018

brescia-oracle-gdpr-zerouno

Come abbiamo evidenziato nell’articolo GDPR: proteggere i dati rispettando la normativa e creando valore per il business, il regolamento europeo per la tutela dai dati personali GDPR che sarà completamente operativo da maggio 2018, lascia maggiore discrezionalità ai titolari nella scelta delle modalità attraverso le quali conformarsi alle sue disposizioni. La maggiore libertà impone però l’onere della dimostrazione delle ragioni per le decisioni prese e le motivazioni per cui si ritiene, attraverso queste, di poter ottenere la conformità normativa. Questo cambiamento di prospettiva potrebbe incidere sugli strumenti che i titolari utilizzeranno per rispettare quanto richiesto e comprovare la conformità al GDPR.

La tecnologia può dare una mano nel garantire la compliance e tenere traccia delle attività rispetto all’accountability. Il roadshow organizzato da ZeroUno in collaborazione con Oracle, con la partnership di Aused, Clusit ed Europrivacy, ha approfondito attraverso quali strumenti e quali percorsi garantire il rispetto della normativa, coinvolgendo nel dibattito le organizzazioni che hanno partecipato agli incontri realizzati in diverse città italiane nelle quali gli eventi sono stati supportati da partner locali: PwC TLS a Trento (dove l’evento è stato ospitato da Gruppo Seac); Area Etica a Brescia; Vantea Smart ad Ancona (dove l’evento è stato supportato anche dal Club TI Centro) e a Firenze.

I passi per diventare conformi al GDPR

Massimo Ficagna, Senior Advisor Osservatori Digital Innovation, Politecnico di Milano

“Come arrivare preparati al traguardo?”, si domanda Massimo Ficagna, Senior Advisor Osservatori Digital Innovation, Politecnico di Milano, delineando un percorso in quattro fasi per raggiungere l’obiettivo, dopo aver identificato e definito gli attori coinvolti: “Il dato personale riguarda solo le persone fisiche a cui è associato”, ha precisato Ficagna. L’interessato è la persona a cui si riferiscono i dati, mentre il titolare del trattamento è il soggetto giuridico che, da solo o con altri, decide quali trattamenti fare e per quali scopi, mentre il responsabile del trattamento è la persona fisica o giuridica che elabora i dati personali per conto del titolare.

Figura 1 – Le 4 fasi di implementazione del GDPR – Fonte: Osservatori Digital Innovation del Politecnico di Milano

Il percorso per adeguarsi al regolamento GDPR delineato da Ficagna prevede (figura 1):

  • come prima fase di censire e mappare i dati personali, andando anche a preparare il registro dei trattamenti. “È questo il momento per nominare il DPO, che deve essere un soggetto autonomo, ed è obbligatorio nel settore pubblico e per attività B2C che prevedano il trattamento di dati sensibili”, precisa Ficagna,
  • la fase successiva consiste nel proteggere e adeguare la propria realtà alle richieste della normativa, identificando i rischi e gli impatti nel caso che un evento negativo si verifichi: “Questa analisi è indispensabile per definire le priorità e mettere in sicurezza i dati a partire da queste”, sottolinea Ficagna, precisando che il Regolamento non indica soluzioni tecnologiche che vengono citate solo come esempi (controllo accessi, tecniche crittografiche, disaster recovery…). Si indica però la ragionevolezza degli interventi, sulla base anche delle tecnologie disponibili e della proporzionalità rispetto al rischio. È anche importante dimostrare di aver tenuto conto dei diritti dell’interessato (accesso, oblio, rettifica, opposizione al trattamento…) e aver predisposto i relativi strumenti informatici perché li possa esercitare.
  • Nella terza fase si deve controllare e reagire, “preparandosi a gestire il peggio”. Il consiglio è tenersi pronti ad affrontare eventuali violazioni alla privacy tracciando preventivamente tutte le operazioni di trattamento e predisporre le procedure dedicate a gestire la notifica al Garante di eventuali violazioni.
  • La quarta fase consiste nel verificare e migliorare aggiornando continuamente: “Il GDPR non deve essere visto come un progetto una-tantum, ma come un processo continuativo”, avverte Ficagna che consiglia di trasformare il Regolamento in un’occasione per migliorare il rapporto con i clienti e gli utenti comunicando in modo particolarmente chiaro e trasparente le finalità dei trattamenti e rendendo molto facile agli interessati l’esercizio dei loro diritti.
Angelo Maria Bosis, Cloud Technology Sales Consulting Director di Oracle

A sostegno di quanto affermato da Ficagna, interviene Angelo Maria Bosis, Cloud Technology Sales Consulting Director di Oracle: “È importante investire sulla sicurezza dei dati non solo per garantire la compliance GDPR, evitando il rischio di sanzioni salate, ma anche per ridurre il rischio aziendale, proteggere il marchio, ridurre i costi dei controlli e, last but non least, per abilitare l’innovazione. La sicurezza è un prerequisito per fare innovazione e, nella società contemporanea dove l’IT è diffusa ovunque, fare buon IT è fare buona sicurezza”.

Secondo l’esperienza Oracle su questo tema presso le aziende clienti “la situazione è ampiamente migliorabile: si sono riscontrati errori comuni come la condivisione delle password, l’assenza di logging, aggiornamenti del software inadeguati, l’assenza di crittografia dei dati, privilegi eccessivi… Tutti errori che non derivano tanto dalla mancanza di tecnologia quanto da carenze in termini di organizzazione e processo. In assenza di questi elementi di sicurezza di base, difficilmente l’organizzazione potrà riuscire ad essere conforme al regolamento europeo”, sottolinea Bosis.

Qual è il supporto delle tecnologie

Secondo Oracle, bisogna prima di tutto comprendere quali siano le conseguenze per l’IT del GDPR che, imponendo la protezione dei dati, rende indispensabile conoscere innanzitutto cosa si deve proteggere. Il primo step sarà dunque un inventario dei dati, capire quali sono e dove si trovano, quanto siano esposti al rischio, per poi individuare i necessari rimedi, seguendo quattro passi:

  1. data inventory; il registro dei trattamenti va in questa direzione, ma Oracle sta rilevando fra i clienti che spesso avere visibilità di dove sono i dati è problematico e non solo per i dati non strutturati; si sa dove entra il dato, ma non è facile seguirlo nel suo processo di trasformazione e gestione;
  2. consapevolezza/analisi del rischio;
  3. aggiungere sicurezza a livello architetturale: la normativa indica l’approccio by design/by default, semplice da seguire per i nuovi sistemi, ma non sempre realizzabile a livello architetturale in modo trasparente in sistemi pre-esistenti;
  4. aggiungere sicurezza a livello applicativo, indispensabile nel caso in cui gli aspetti relativi ai diritti degli utenti non si possano implementare a livello architetturale: serve dunque la trasformazione delle applicazioni o la realizzazione di un’infrastruttura applicativa in grado di governare i dati.
Figura 2 – Attività e tecnologie nel percorso di adeguamento al GDPR – Fonte: Oracle

Come sintetizzato nella figura 2, si parte dai processi per capire dove sono i dati e si parte dai dati per capire a quali processi afferiscono, realizzando un circolo virtuoso che andrà ad arricchire il Registro dei Trattamenti, descritto nell’articolo GDPR: proteggere i dati rispettando la normativa e creando valore per il business. “Anche la mappa dei dati andrà informatizzata, non solo il Registro – suggerisce Bosis – In questo modo sarà più facile tracciare la loro evoluzione e aggiornare automaticamente il Registro”. Una volta individuati applicazioni e data base coinvolti, questi vanno protetti.
“Si dovrebbe partire dal dato che va protetto ovunque esso si trovi, evitando di utilizzare i dati reali dove non servono, ossia fuori dai sistemi di produzione – dice Bosis – Per ambienti di test e di sviluppo è consigliabile utilizzare dati mascherati e anonimizzati (privati del loro contenuto informativo), con il risultato di ridurre di circa il 50% i dati soggetti al Regolamento”. Per i restanti dati personali, Bosis consiglia la crittografia che offre il vantaggio, in caso di violazione, di dover dare comunicazione solo al Garante, mentre in caso di violazione di dati in chiaro c’è l’obbligo di comunicarlo anche agli interessati. Per i database relazionali, il sistema più efficace e sicuro è la criptazione a livello di motore relazionale (messa generalmente a disposizione dai fornitori dei diversi database), preferibile alla crittografia a livello di disco.
Ci sono altri sistemi come l’offuscamento, che restituisce il dato privato di alcuni elementi, e la tokenizzazione che sostituisce un dato reale con un dato fittizio, che Bosis considera però meno sicuri e più complessi da gestire. Resta comunque in campo il problema di come proteggere il dato quando viene “consumato” e deve inevitabilmente essere in chiaro. Qui entra in gioco il controllo delle identità: “L’esperienza suggerisce che gli attacchi avvengono spesso sottraendo le identità di terzi. È dunque fondamentale avere log autenticati che facciano riferimento a una specifica persona”, precisa Bosis.

Importante per la sicurezza è il monitoraggio che, per essere efficace, deve basarsi, come appena detto, sull’analisi di log autenticati che facciano riferimento a una persona specifica (ma spesso nelle aziende non accade) e su sistemi avanzati di machine learning capaci di correlare elementi diversi del sistema per individuare pattern di attacco e anticiparli, evitando, come oggi spesso accade, che le violazioni vengano scoperte sei mesi dopo e dall’esterno: “E in questo è altamente probabile che il Garante e la stessa organizzazione vengano informati dai mercati, con l’immaginabile effetto disastroso sulla reputazione di chi ha subìto l’attacco”, sottolinea Bosis.
Adottare infine strumenti di monitoraggio della configurazione di sistema (e l’eventuale rispristino di una configurazione sicura) per prevenire gli attacchi fin dalla fase di preparazione.
Una volta garantita la sicurezza di base dei dati ci si può preoccupare di assicurare i diritti degli interessati mediante una sovrastruttura applicativa per governare le informazioni, per cui sono disponibile molte possibili soluzioni.
Infine, il GDPR, oltre alla sicurezza, richiede la disponibilità e l’integrità delle informazioni (articoli 25 e 32) che si possono garantire attraverso un solido piano di disaster recovery.
“Oracle (che ha fra le referenze la stessa Commissione Europea) e i suoi partner coprono, con le proprie tecnologie e i servizi collegati, tutte le fasi sopra indicate”, ha ricordato Bosis.

I partecipanti al roadshow si confrontano con l’adeguamento GDPR

Ma la maggior parte delle preoccupazioni esposte dalle imprese e dalle amministrazioni pubbliche non riguardano gli aspetti tecnologici che, nel corso del dibattito nelle diverse città in cui si è svolto il roadshow, sono stati infatti toccati marginalmente. Un dubbio posto nell’incontro di Ancona riguarda la garanzia di rispetto di GDPR per i dati in cloud, in particolare per fornitori extraeuropei: “La responsabilità è spostata verso il provider che garantirà livelli di sicurezza molto superiori – è la risposta di Bosis – Anzi abbiamo notato che la sicurezza, che fino a poco tempo fa rappresentava un freno, oggi viene considerata uno stimolo per andare nel cloud”.

Francesca Lonardo, P4I, avvocato specializzato in privacy e diritto delle nuove tecnologie

Per quanto riguarda i siti extraeuropei per la conservazione dei dati personali, sono ammessi dal GDPR solo quelli considerati “adeguati” dalla Commissione europea, fra cui non figurano gli Usa: “Ma è possibile siglare un contratto standard che disciplina i trasferimenti e il trattamento”, precisa Francesca Lonardo, avvocato specializzato in privacy e diritto delle nuove tecnologie, P4I.
Sempre nell’incontro di Ancona sono stati richiesti opportuni chiarimenti sugli obblighi per quanto riguarda il Registro dei Trattamenti e la nomina del DPO (Data Protection Officer). In particolare ci si è chiesti come mai l’obbligo del Registro venga considerato superfluo per aziende al di sotto dei 250 dipendenti che potrebbero di fatto trattare grandi quantità dati personali: “Il numero dei dipendenti è uno dei requisiti; viene richiesto comunque in caso di trattamento su larga scala di dati sensibili o giudiziari o profilazioni – ha risposto Lonardo – Ma noi lo consigliamo per qualunque azienda”.
Per quanto riguarda il DPO è stato anche chiarito che non può essere nominato il CIO (che si troverebbe ad essere controllore e controllato in quanto responsabile della transizione digitale) e, in generale, nessun manager, visto che il DPO è una figura di controllo, ma non decisionale.
“Il DPO è inevitabile trattandosi di ente pubblico – ha sottolineato a Firenze un rappresentante della Regione Toscana – Ma come far capire ai decisori che la sicurezza e l’adeguamento di GDPR sono problemi di tipo organizzativo che richiedono allocazione di risorse?”.

Il GDPR come cavallo di Troia per rendere consapevole il top management

Il tema dell’impatto organizzativo nell’affrontare l’adeguamento DGPR e la necessità di coinvolgere i vertici aziendali è stato il più sentito in tutti gli incontri.
Come evitare che ci si affidi a un consulente per mettersi al riparo da irregolarità “burocratiche”, adottando soluzioni che garantiscano solo il minimo indispensabile? Così ha manifestato il suo timore nell’incontro di Firenze un CIO dell’editoria, settore che attraversa un periodo non particolarmente fiorente e prevede budget scarsi per la sicurezza. Come sensibilizzare i vertici aziendali sulle tematiche della sicurezza? Queste difficoltà sono presenti anche in organizzazioni certificate ISO 27001 (la norma internazionale relativa al sistema di gestione della sicurezza delle informazioni), anche se, come ricorda Bosis, “se si è sulla strada della certificazione 27001 il passo per la compliance GDPR è breve”.

Biagio Lammoglia, Europrivacy

“La differenza è che mentre la norma 27001 si preoccupa di proteggere i dati, il GDPR mira a proteggere i diritti degli interessati – spiega nella tappa bresciana Biagio Lammoglia di Europrivacy, un blog precompetitivo di fornitori interessati al tema -. Non c’è un’asta da superare, ma un percorso virtuoso, a ciclo continuo, da compiere; in caso di controlli sarà importante poter dimostrare che è stato avviato questo percorso e che si stanno adottando buone pratiche”.

Ettore Fabbiano, Technical Business Manager di Vantea Smart

Tutti concordano che per un intervento efficace deve cambiare l’approccio culturale: il problema è di competenza dell’IT dal punto di vista tecnico, ma deve investire anche il resto dell’azienda: “Tutte le componenti devono essere coinvolte e consapevoli di dover contribuire per quanto di loro competenza – sottolinea Ettore Fabbiano, Technical Business Manager di Vantea Smart – Serve una formazione non solo normativa ma anche culturale sulla gestione dei dati sensibili che per essere efficace non può riguardare solo l’IT”. Ma soprattutto, il GDPR non deve essere considerato un punto di arrivo: “È infatti necessario un check-up periodico che consenta di monitorare il mantenimento degli standard. Nella nostra attività di consulenza sul GDPR, per ogni area pianifichiamo un check-up degli standard raggiunti, adeguando, mantenendo, integrando laddove necessario e realizzando un piano di miglioramento continuo nel tempo”, aggiunge Fabbiano (figura 3).

Figura 3 – Monitoraggio periodico e mantenimento degli standard – Fonte: Vantea Smart

Il regolamento GDRP sta aiutando a fare passi in avanti in un approccio più consapevole alla security e alla data protection da parte del top management: “Rispetto a qualche anno fa, il regolamento europeo ha aumentato la consapevolezza verso l’alto, sia grazie al timore delle multe sia per la diffusione, anche sulla stampa non specializzata, delle notizie sulle violazioni dei dati”, commenta Bosis.

Concludiamo questo servizio con l’esperienza di Fast Point, raccontata durante la tappa bresciana, da Giuseppe Suanno, Responsabile IT e Operation dell’azienda, centro servizi per la gestione operativa del ciclo di trattamento di voucher, carte elettroniche e di tutti i servizi ad essi legati dove sono coinvolte grandi quantità di dati personali. Fast Point ha già conseguito la certificazione ISO 27001 mentre è in fase di conseguimento quella per la gestione PCI-DSS (per le card bancarie). In collaborazione con Area Etica, Oracle Gold Partner, è in fase avanzata sul percorso di compliance verso GDPR, avendo già affrontato molti degli step delineati nei precedenti interventi. “La gestione della sicurezza è molto impegnativa – è la testimonianza di Suanno – Non è per esempio possibile criptare tutto dovendo utilizzare applicazioni con maschere di inserimento già predisposte (preferibile il mascheramento)”. Altro punto critico è il controllo degli accessi non solo interni all’azienda ma spesso da partner esterni. Lo stato attuale prevede la comunicazione su un canale crittografato, mentre l’applicazione di trasferimento non usa ancora la crittografia e i dati sono in chiaro se pur con diversi livelli di autenticazione.

Giuseppe Suanno, Responsabile IT e Operation di Fast Point

Infine, un’ultima puntualizzazione emersa da più interventi nel corso dei diversi incontri: un’azienda può diventare digitale solo se sicura. “Il cliente, nella sua vita digitale, lascia una scia di informazioni che ci consente di clusterizzare meglio il mercato fino ad arrivare a poter conoscere i desideri del singolo; è evidente che se mettiamo il cliente al centro della nostra strategia, i dati che lo riguardano e che sono molto più puntuali e personali di una volta, devono essere adeguatamente protetti”, dice Stefano Uberti Foppa, direttore di ZeroUno e chairman della tappa di Ancona.

Per approfondire ulteriormente la tematica del GDPR attraverso documenti e articoli vai all’area “GDPR Countdown”

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

  • Metodologie

    GDPR e il Registro dei Trattamenti: un’opportunità da cogliere

    04 Dic 2017

    di Luca Galetti e Andrea Reghelin

    Condividi
  • Tech InDepth

    Data Security e Privacy: tecnologie per la sicurezza data-centric

    30 Nov 2017

    di Riccardo Cervelli

    Condividi
WordPress › Errore

Si è verificato un errore critico sul tuo sito web.

Scopri di più riguardo la risoluzione dei problemi in WordPress.