Protezione Dati Personali e Valutazione del rischio: la scelta di campo di C&P srl.

Il 24 maggio 2016 è entrato in vigore il Regolamento Generale sulla Protezione dei Dati (Regolamento UE n.2016/679 detto General Data Protection Regulation o GDPR). Il legislatore Europeo ha concesso due anni di tempo alle Aziende ed agli Enti, per adeguare la propria organizzazione alla nuova normativa, divenuta pienamente operativa a partire dal 25 maggio 2018.

Il GDPR non riguarda solo il Diritto alla Protezione dei Dati Personali, ma anche la libertà di circolazione dei Dati nell’Unione Europea. Scopo del regolamento è proteggere i Dati delle Persone Fisiche per aumentare la loro fiducia nella società digitale.

Non si tratta di una Norma Statica, ma Dinamica: al centro del Regolamento c’è la Responsabilità del Titolare del Trattamento. Tale Responsabilità si basa sull’obbligo che il Titolare ha di valutare il Rischio che i Trattamenti che pone in essere possano far correre alle Libertà Individuali ed ai Diritti delle Persone Fisiche, compresa la Tutela dei Dati Personali.

A questo concetto di “Responsabilità del Titolare” (che il GDPR chiama “Accountability”, termine che potremmo tradurre come Responsabilità Documentata) non ci sono scappatoie: è un impegno che chiunque faccia impresa deve assolvere ogni giorno. Oggi un Imprenditore illuminato deve tener conto, come danno maggiore, non tanto delle sanzioni ma del danno reputazionale derivante dalla perdita o dal furto dei Dati Personali che la sua Impresa tratta.

E’ un cambio di passo straordinario rispetto al precedente Codice della Privacy (Dlgs.196/2003): si passa dal concetto di “adempimento formale” alla protezione dell’intera infrastruttura di trattamento dei dati personali, necessaria alla nuova economia basata sui dati. Proprio per questo, ogni organizzazione non potrà più adottare predisposti schemi generici ma un suo modello di gestione, che – sulla base del concetto di accountability -determini le specifiche strategie di protezione dei dati personali che le sono conferiti.

Tra le prescrizioni introdotte dal Regolamento UE 2016/679, c’è anche la figura del Responsabile della Protezione dei Dati, conosciuto anche come DPO (Data Protection Officer), figura che è obbligatoria per tutte le pubbliche amministrazioni ed enti pubblici, ma anche per le Imprese che trattano su larga scala informazioni sensibili, relative alla salute o alla vita sessuale, dati genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati.
Le altre tipologie di Imprese, che non ricadono nell’obbligo di legge, possono comunque decidere di dotarsi ugualmente di un DPO (Data Protection Officer).

In questo quadro generale le Compagnie Assicuratrici si sono preoccupate (nel loro ruolo di Titolari del Trattamento) di nominare come Responsabili Esterni le Aziende di cui si avvalgono per svolgere alcune specifiche attività, fornendo alle stesse istruzioni sul trattamento dei dati e chiedendo garanzie specifiche in termini di sicurezza e protezione dei dati e di gestione del rischio.

Nell’ottica di fornire la più ampia tutela, C&P srl ha deciso di innalzare il proprio livello di “compliance” al GDPR provvedendo, su base volontaria, alla nomina di un DPO esterno e commissionando ad una struttura specializzata le attività di “assessment” del proprio Sistema Informativo.

Abbiamo chiesto al Dott. Claudio Mazzucchelli (che è stato nominato DPO di C&P srl) ed al Dott. Stefano Rossi (al quale sono state affidate le attività di “assessment” periodico del Sistema Informativo) di aiutarci a capire meglio in che cosa consista la loro attività, quali possano essere i vantaggi che possano derivare da questa scelta per C&P srl e di spiegare perché oggi il tema della protezione dei dati sia un aspetto che le Aziende non possono più permettersi di trascurare.

Qual è oggi il livello delle aziende in termini di consapevolezza e conformità al GDPR?

Il concetto di consapevolezza è una delle più importanti chiavi di lettura del nuovo Regolamento UE. Ogni organizzazione che tratta dati personali deve comprendere che essi le sono affidati, in misura minima necessaria allo scopo, e che i soggetti interessati ne mantengono il pieno controllo. Spesso le aziende acquisiscono dati in modo non trasparente, trattandoli anche per scopi diversi da quelli per i quali essi sono stati conferiti, trasferendoli a soggetti terzi non legittimati, spesso anche al di fuori dello spazio europeo, in ambito dove la sicurezza è insufficiente.
Purtroppo, a tre anni dalla data di piena operatività del GDPR, la sensibilità privacy di molte imprese ed organizzazioni pubbliche è ben lungi da quella attesasi dal legislatore europeo, che nel GDPR ha inteso produrre una normativa uniforme, tesa anche a ridare fiducia ai cittadini europei, che in larga parte non ritengono pienamente tutelati i loro dati. Specialmente in ambito pubblico, anche dai soli fatti di cronaca, riscontriamo come la protezione dei dati personali, uno dei diritti fondamentali dell’individuo, non sia ancora pienamente metabolizzato nel DNA organizzativo; i recenti casi nei quali – non solo in Italia – si sono evidenziate mancate nomine della figura del DPO in ambito pubblico, ne costituiscono eclatanti esempi.

A tale proposito, chi è il DPO e di cosa si occupa?

C.M.: Il DPO – Data Protection Officer è una figura professionale creata dal GDPR. Svolge sicuramente un ruolo rilevante, ma occorre ricordare sempre che al “centro” del sistema posto in essere dal GDPR c’è sempre il Titolare del Trattamento. Il DPO deve possedere competenze multidisciplinari che riguardano aspetti giuridici della normativa, aspetti organizzativi e aspetti tecnologici informatici dei sistemi digitali ed elettronici. Può essere interno o esterno all’azienda e la sua figura è obbligatoria in alcuni ambiti come la pubblica amministrazione o anche in Aziende che operino su larga scala con particolari categorie di dati.
La posizione del DPO si compone di diverse istanze in delicato equilibrio tra loro: da un lato deve mettere il Titolare nella condizione migliore al fine di assicurare, dimostrare e verificare la “compliance” al GDPR, dall’altro svolge un ruolo di garanzia non puramente ancillare nei confronti del Titolare per cui svolge il proprio ufficio, ma anche rispetto alla Autorità Garante per la Protezione dei Dati Personali ed agli stessi Interessati, cioè le Persone Fisiche che conferiscono all’Azienda i propri Dati Personali.

La nomina del DPO e le modalità di contatto dello stesso devono essere poste a conoscenza degli Interessati.

Ritengo che la figura del DPO costituisca uno strumento importante, se non indispensabile, per le Aziende che intendano impegnarsi nella verifica continua dell’adeguatezza dei propri processi di trattamento dei dati, dell’efficacia degli strumenti tecnico-organizzativi posti a tutela dei diritti degli individui ed anche a tutela dell’organizzazione stessa.

A quali obblighi lo Studio C&P era tenuta ad adempiere in termini di normativa Privacy e quali ha messo in atto?

C.M.: Ho conosciuto la realtà di C&P srl nel 2018, nell’imminenza dell’applicazione del GDPR. Nella valutazione delle attività che l’Azienda avrebbe dovuto svolgere per adeguarsi correttamente alla nuova norma avevamo valutato che per C&P srl non sussisteva l’obbligo di nominare il DPO.
In questi due anni anche le Compagnie di Assicurazione hanno analizzato meglio i rischi cui potevano andare incontro i Dati Personali da loro raccolti, quando trattati da Responsabili Esterni. Pertanto hanno perfezionato le modalità di nomina dei Responsabili Esterni chiedendo loro precise garanzie di “compliance” e rispetto della normativa.
La questione della gestione della privacy per un’azienda che, come C&P, si occupa di consulenza, è un tema molto delicato perché i dati che tratta appartengono a clienti di altri soggetti Titolari del Trattamento: nello specifico gli Assicurati delle singole Compagnie Assicurative.
Il Garante della Privacy non impone, per le Aziende che non ne hanno l’obbligo, la nomina di un DPO ma la raccomanda caldamente perché è un ruolo che, soprattutto se esterno, migliora in modo esponenziale la qualità della protezione dei dati e consente all’azienda stessa di comprendere meglio la natura dei dati che tratta.
Se è vero che un DPO interno conosce molto bene tutte le dinamiche aziendali, è anche vero che lo stesso è maggiormente condizionato da ruoli, contatti, relazioni interpersonali o politiche che ci possono essere. Inoltre i costi della formazione e dell’aggiornamento continuo di un DPO interno non sono sicuramente compatibili con i budget di una piccola Azienda.
In questo senso, un DPO esterno fornisce una maggiore garanzia di neutralità e permette di capire meglio quali sono le problematiche nascoste che possono influire su una scarsa protezione dei dati, svolgendo il proprio lavoro non solo in maniera “meccanica” ma indagando sui problemi interni alla struttura.

La scelta di C&P srl di scegliere di affidarsi a un DPO esterno è quindi il frutto di diverse componenti: un’attenzione particolare da parte dello studio alle tematiche inerenti la protezione dei dati; la presenza di uno staff molto motivato e interessato alle problematiche del GDPR; la volontà della Direzione di migliorare costantemente il livello di sicurezza del proprio sistema informativo nonché la qualità dei propri servizi; la consapevolezza del Consiglio di Amministrazione che la Protezione dei Dati Personali non può essere una protezione “di maniera” basata sulla compilazione formale di questionari “fotocopiati”, ma deve essere “sostanziale” e reale basata sull’esame dei singoli processi di trattamento dei dati effettuati dall’Azienda; la richiesta specifica (contenuta nella nomina a Responsabile Esterno di C&P srl da parte di una primaria Compagnia Assicurativa) di dimostrare la “compliance” rispetto al GDPR ed il grado di protezione dei Dati Personali ed il livello di sicurezza del sistema informativo aziendale attraverso “assessment” periodici.

Quali sono i rischi a carico di un sistema informativo e quali contromisure possono adottare le Aziende per minimizzare questi rischi?

S.R.
Oggi una infrastruttura informativa, anche di una P.M.I, è caratterizzata da espetti di complessità ed eterogeneità; è venuto meno il concetto medievale di perimetro, nel quale i nemici si trovano all’esterno. Oggi è impossibile definire chi risiede all’interno del perimetro e chi ne sta fuori, in quanto moltissimi utilizzano strumenti in cloud e devices mobili; di recente, anche la massiva adozione di attività in smart-working – spesso effettuate con assets diversi da quelli aziendali, hanno definitivamente reso obsoleto il concetto di perimetro.
Parallelamente si è registrato un aumento costante di minacce, portato da soggetti malintenzionati non solo tramite i consueti modus operandi, bensì compromettendo piattaforme cloud, servizi IT e software adottati da milioni di imprese per trattare i proprio dati; il recente caso di security breach occorso a Solarwinds costringe a ripensare interamente al modello di sicurezza sinora adottato.
In questo contesto, ogni titolare del trattamento deve condurre una seria valutazione del rischio; questo è alla base di ogni modello di gestione della sicurezza informativa, non solo una prescrizione della normativa privacy.
La Valutazione del Rischio precede ogni nuova attività di trattamento; qualora il rischio sia elevato, occorre adottare strategie e misure di riduzione, tali da ricondurlo in un ambito accettabile.
In un’ottica di privacy by design, le aziende sono chiamate ad adottare preliminarmente misure adeguate a minimizzare tali rischi, quali la fondamentale formazione e sensibilizzazione del personale, l’adozione di regolamenti di sicurezza e l’implementazione di metodologie standard ed il controllo della loro efficacia.
Quindi una vera e propria gestione del rischio, dinamica e non statica, necessaria a mantenere il pieno controllo sul trattamento dei dati, anche al variare di contesti e delle minacce, come è avvenuto recentemente.
Un aspetto determinante di questa gestione del rischio, che noi definiamo dataprotection model, sono gli audit di sicurezza; all’interno di essi si pone una specifica attività, chiamata vulnerability assessment; si tratta di una valutazione della presenza di vulnerabilità di devices elettronici, software, servizi IT, ecc. , costituenti l’infrastruttura informativa aziendale; si tratta di task molto tecnici, che debbono essere espletati periodicamente, per scoprire e risolvere eventuali vulnerabilità presenti, sfruttabili da soggetti malintenzionati per determinare una violazione dei dati personali (data breach).
Al fine di meglio comprendere gli effetti di una vulnerabilità, portiamo come esempio la recentissima Exchange 0-DAY vulnerability; è stato scoperto un difetto di programmazione del codice di Exchange Server (un mail server aziendale di Microsoft) che ha consentito a vari soggetti malevoli di compromettere molteplici server, prendendone il pieno controllo ed installando ulteriore codice malevolo; al momento che scriviamo, dopo oltre 20 giorni che è stata rilasciata la patch (il correttivo) risultano ancora oltre 50.000 server vulnerabili.
Risulta quindi evidente come evidenziare e rimuovere le vulnerabilità siano attività essenziali, purtroppo ancora oggi trascurate; nei vari sistemi di gestione della sicurezza dei sistemi informativi – esempio ISO 27000 – essi sono presenti ed assumono caratteristiche di essenzialità.
Con riferimento della seconda parte della domanda, allo scopo di minimizzare i rischi a carico della propria infrastruttura IT, ogni azienda dovrebbe adottare – ed esercire – un sistema di gestione della sicurezza dei sistemi informativi; pur essendo essi frameworks pensati per strutture di grandi dimensioni, essi possono sempre essere adottati, nelle sue parti più importanti o attinenti, anche in organizzazioni di dimensioni minori.
C&P ha inteso adottare le parti più rilevanti dello standard ISO/IEC 27000, e sta svolgendo un lavoro di adeguamento continuo agli standards richiesti per fornire un livello di protezione ottimale ai dati dei suoi clienti.

Per concludere, quali sono gli eventi più rilevanti di una violazione dei dati e quali comportamenti devono avere il Titolare ed il Responsabile del Trattamento in caso di violazione dei dati?

S.R.: Tra gli eventi avversi più impattanti ed in aumento, segnaliamo:
esfiltrazione dei dati, intesa come il trasferimento dei dati al di fuori dei corretti ambiti operativi, spesso con conseguente richiesta di somme di denaro per evitare la divulgazione incontrollata;
• la cifratura dei dati presenti nei sistemi IT aziendali e contestuale richiesta di riscatto per avere le chiavi di decifrazione (ransomware) in cambio di un pagamento, di genere in cryptovalute.
Nel primo caso viene meno la riservatezza sui dati, mentre nel secondo si perde la disponibilità dei dati stessi (qualora non siano disponibili backup recenti); in molti eventi recenti, si evidenzia come siano stati sia esfiltrati che successivamente cifrati i dati.
Qualora si perda la riservatezza, l’integrità e la disponibilità dei dati personali si verifica una violazione dei dati personali (data breach); in tale evenienza, il Titolare del Trattamento ha l’obbligo di notifica all’autorità di controllo entro 72 ore, sia che questa avvenga all’interno della struttura, sia che avvenga all’esterno presso il Responsabile Esterno del Trattamento; in questo caso il Responsabile deve notificare il Data Breach tempestivamente al Titolare, un aspetto quindi determinante che deve essere sempre considerato.

C.M.: Tutte le aziende appartenenti alla filiera assicurativa come C&P hanno quindi l’obbligo di segnalare un Data Breach al Titolare del Trattamento perché quest’ultimo possa segnalarlo tempestivamente alla Autorità Garante.
Le Compagnie di Assicurazione hanno da tempo consolidato precise tecniche e strumenti di analisi delle attività e dei tentativi di intrusione che possono avvenire sui loro Sistemi Informatici.
Sono altresì consapevoli di come siano aumentati, in questo particolare periodo di pandemia, gli attacchi ai sistemi informatici a causa di uno Smart Working spesso attuati in maniera velleitaria e non controllata. E sono certamente preoccupate per i danni reputazionali e di immagine derivanti da un Data Breach subito da un loro Responsabile Esterno. Per questo motivo scelgono di affidarsi a strutture affidabili e sicure per quanto riguarda la Protezione dei Dati Personali ed anche in grado di gestire tempestivamente e rapidamente una eventuale violazione.
Non ho evidenza di altri studi peritali di queste dimensioni che abbiano affrontato il problema della Protezione dei Dati e della Sicurezza Informatica a questo livello, e si siano preoccupate di aumentare il proprio livello di “compliance” investendo in attività periodiche di “Assessment” periodici e nell’inserimento di una figura di DPO nel proprio Modello Organizzativo Privacy.
Credo che, proprio per questo motivo, la presenza sul mercato di C&P srl costituisca un punto di riferimento significativo che influenzerà positivamente anche altre realtà a seguirne l’esempio.
Sicuramente gli investimenti effettuati dall’Azienda sono indice della volontà di presentarsi ai propri partners come una struttura di eccellenza e di garanzia della massima attenzione alla Protezione dei Dati Personali.

Dott. Claudio Mazzucchelli

Dott. Stefano Rossi