Data Security: l'art. 32 GDPR

Inquadramento

L'art. 32 GDPR rappresenta uno dei pilastri per la protezione dei dati personali, stabilendo l'obbligo per le organizzazioni di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato ai rischi associati al trattamento dei dati personali. L'obiettivo è la tutela dei diritti e delle libertà degli individui, prevenendo così le violazioni dei dati che potrebbero causare danni fisici, materiali o immateriali.

L'art. 32 GDPR assume un ruolo cruciale nel definire gli standard di sicurezza che le organizzazioni devono rispettare, anche se non fornisce una lista esaustiva di misure da adottare, ma piuttosto un quadro di riferimento che deve essere adattato alle specifiche esigenze di ogni entità. Tale approccio flessibile consente alle organizzazioni di sviluppare strategie di sicurezza personalizzate, basate sulla natura, l'ambito, il contesto e le finalità del trattamento dei dati, nonché sul livello di rischio associato.

Il GDPR riconosce che la sicurezza dei dati non può essere garantita con un approccio valido per tutti; pertanto, l'art. 32 richiede alle organizzazioni di effettuare una valutazione continua dei rischi, considerando le tecnologie disponibili, i costi e il potenziale impatto su diritti e libertà degli interessati. Le organizzazioni devono quindi impegnarsi in un processo di miglioramento costante delle loro misure di sicurezza, adattandosi ai cambiamenti tecnologici e ai rischi di cybersicurezza che emergono, promuovendo una cultura della sicurezza informatica.

Requisiti di Sicurezza: Pseudonimizzazione

La pseudonimizzazione, come descritto nelle linee guida del Comitato Europeo per la Protezione dei Dati (EDPB) è una tecnica di sicurezza che sostituisce gli identificatori diretti con identificatori indiretti per rendere i dati personali meno identificabili. Tale tecnica non elimina completamente la possibilità di identificare un individuo, ma riduce significativamente i rischi associati al trattamento dei dati.

Secondo il documento dell'AEPD e EDPS, la pseudonimizzazione deve essere implementata in modo tale che i dati pseudonimizzati non possano essere attribuiti a una specifica persona senza informazioni aggiuntive, che devono essere conservate separatamente e soggette a misure tecniche e organizzative adeguate. La pseudonimizzazione è particolarmente utile in contesti in cui è necessario utilizzare i dati personali senza compromettere la privacy degli individui.

Un esempio pratico di pseudonimizzazione è l'uso delle funzioni hash. Una funzione hash trasforma un input di dati in un output di lunghezza fissa, che appare casuale e non riconducibile direttamente all'input originale senza ulteriori informazioni. Tuttavia, è fondamentale essere consapevoli dei rischi di reidentificazione, che possono derivare da un'analisi combinata di dati aggiuntivi o dalla vulnerabilità delle funzioni hash stesse. Per ridurre questi rischi, si possono utilizzare tecniche come l'aggiunta di salt (valore casuale) ai dati prima di applicare l'hash.

Segue. Cifratura

La cifratura dei dati è una misura di sicurezza fondamentale che trasforma i dati in un formato illeggibile senza una chiave di decrittazione appropriata. Le linee guida più recenti raccomandano l'uso di algoritmi di cifratura robusti, come l'AES (Advanced Encryption Standard) a 256 bit, che offrono un alto livello di sicurezza. La cifratura può essere applicata ai dati sia in transito che a riposo, assicurando che i dati siano protetti durante la trasmissione e l'archiviazione.

Nel contesto normativo di che trattasi, l'implementazione di misure di sicurezza idonee per il trattamento dei dati personali è non solo una buona pratica, ma un obbligo legale. La vicenda dell'Azienda Ospedaliera Bianchi Melacrino Morelli, dettagliata nell'ordinanza ingiunzione del Garante per la Protezione dei Dati Personali (documento n. 9863050 -   Ordinanza ingiunzione nei confronti di Azienda Ospedaliera Bianchi Melacrino Morelli - https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9863050), illustra in modo esemplare le conseguenze della mancanza di tali misure. Nel caso specifico, l'azienda ha trascurato di adottare protocolli di sicurezza come la cifratura dei dati e l'autenticazione degli utenti nella trasmissione di referti medici via email, risultando in una comunicazione non autorizzata di dati sanitari sensibili a soggetti terzi.

La sanzione imposta dall'ordinanza, che ammonta a 7.000 euro, riflette l'importanza che il regolatore attribuisce alla sicurezza dei dati personali, specialmente quando questi sono di natura sensibile come i dati sanitari. Inoltre, il caso evidenzia l'importanza della vigilanza e del controllo interno da parte delle organizzazioni, che devono assicurarsi che le procedure stabilite siano effettivamente seguite dal personale.

L'episodio serve come un chiaro promemoria per tutte le istituzioni sanitarie sull'importanza di adottare e mantenere misure di sicurezza rigorose. Ciò include l'implementazione di sistemi di cifratura avanzati, l'uso di autenticazioni robuste e la formazione continua del personale sui protocolli di sicurezza. Inoltre, si sottolinea la necessità di monitorare costantemente e aggiornare le proprie pratiche in conformità con i requisiti del GDPR per prevenire violazioni simili e per proteggere i diritti dei pazienti.

Applicazione di Pseudonimizzazione e Cifratura

La combinazione di pseudonimizzazione e cifratura può offrire un livello di sicurezza ancora più elevato. In un contesto aziendale, i dati personali possono essere prima pseudonimizzati per limitare l'identificabilità e poi cifrati per proteggere ulteriormente i dati da accessi non autorizzati. Questo approccio garantisce che, anche in caso di violazione della sicurezza, i dati rimangano protetti sia dall'identificazione diretta che dall'accesso non autorizzato.

Un'azienda farmaceutica, per esempio, può pseudonimizzare i dati dei partecipanti alle sperimentazioni cliniche e successivamente cifrarli prima di trasferirli ai ricercatori. Questo metodo assicura che i dati siano utilizzabili per la ricerca senza compromettere la privacy dei partecipanti. Inoltre, è cruciale implementare una gestione efficace delle chiavi di cifratura, che comprende la generazione, distribuzione, archiviazione, rotazione e distruzione sicura delle chiavi.

Capacità di Assicurare Riservatezza

La riservatezza è una delle componenti fondamentali della sicurezza dei dati, essenziale per garantire che le informazioni siano accessibili solo a individui autorizzati. Per assicurare la riservatezza, le organizzazioni devono implementare controlli di accesso rigorosi che limitino l'accesso ai dati esclusivamente a chi ne ha necessità operativa. Ciò include l'uso di autenticazione a più fattori (MFA) per verificare l'identità degli utenti, l'implementazione di politiche di accesso basate sui ruoli (RBAC) e la crittografia dei dati sia in transito che a riposo.

Per esempio, in un ambiente sanitario, solo il personale medico autorizzato dovrebbe avere accesso ai dati dei pazienti. L'uso di sistemi di gestione delle identità e degli accessi (IAM) consente di monitorare e controllare chi accede ai dati, assicurando che solo il personale qualificato possa visualizzare o modificare le informazioni sensibili. Inoltre, la crittografia dei dati durante la trasmissione e l'archiviazione protegge le informazioni da accessi non autorizzati e garantisce che i dati rimangano confidenziali anche in caso di intercettazione.

Nel dettaglio dell'ordinanza ingiunzione contro Eurosanità S.P.A. emessa il 15 dicembre 2022, troviamo un caso significativo di non conformità al GDPR che si è tradotto in una sanzione amministrativa di 120.000 euro (Ordinanza ingiunzione nei confronti di Eurosanità S.P.A. - 15 dicembre 2022 [9870788] - https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870788).        

La violazione nasce dall'erronea gestione delle cartelle cliniche dovuta a un errore materiale durante l'accettazione di pazienti omonimi al pronto soccorso, che ha comportato una confusione di dati sanitari. Tale incidente riflette una violazione degli articoli 5,9 e 32 GDPR, i quali stabiliscono rigorosi standard per l'esattezza, la protezione e la sicurezza dei dati personali.

L'analisi delle cause di tale violazione rileva una mancanza di misure tecniche e organizzative idonee a garantire un adeguato livello di sicurezza, enfatizzando la necessità di una verifica più accurata delle identità dei pazienti e dell'aggiornamento delle cartelle cliniche. Inoltre, il caso è stato aggravato dal contesto di emergenza pandemica, che ha messo sotto pressione i sistemi sanitari e ha potenzialmente amplificato le opportunità per errori umani e sistematici.

L'importanza di adottare protocolli di sicurezza più efficaci è enfatizzata dalla risposta di Eurosanità S.P.A., che ha implementato misure post-violazione per migliorare la gestione delle identità dei pazienti e la sicurezza dei dati. Ciò include l'introduzione di controlli più stringenti sull'anagrafica dei pazienti e l'istruzione rafforzata del personale sull'importanza della verifica dei dati, soprattutto in contesti di alto stress come quello pandemico.

La vicenda è un valido esempio di come una violazione di riservatezza può comportare una sanzione e dell'interpretazione che l'Autorità fornisce per quanto riguarda l'art. 32 GDPR.

Integrità

L'integrità dei dati implica mantenere l'accuratezza e la completezza delle informazioni durante il loro ciclo di vita. Le organizzazioni devono implementare misure che proteggano i dati da modifiche non autorizzate, errori accidentali o malfunzionamenti del sistema, inclusi l'uso di checksum, hash crittografici e firme digitali per verificare che i dati non siano stati alterati.

Un esempio pratico è nel settore bancario, dove l'integrità dei dati delle transazioni è cruciale. Ogni transazione deve essere registrata accuratamente e inalterata per garantire la fiducia degli utenti nel sistema bancario. I sistemi bancari utilizzano hash crittografici per verificare l'integrità dei dati delle transazioni e implementano controlli rigorosi per prevenire accessi non autorizzati e modifiche ai dati.

Il tema relativo all’integrità dei dati personali investe anche diversi profili rilevati dall’Autorità inglese; nel 2022, Tuckers Solicitors LLP è stata sanzionata dall'Information Commissioner's Office (ICO) per gravi violazioni del GDPR, con una multa di £98,000 a seguito di un attacco ransomware che ha compromesso dati sensibili di molti individui. L'indagine ha evidenziato carenze significative nelle misure di sicurezza di Tuckers, come la mancanza di autenticazione multifattore e una gestione inadeguata delle patch di sicurezza, che hanno facilitato l'accesso e la diffusione dei dati personali sul dark web. Le mancanze nell'implementazione di misure adeguate, come la cifratura dei dati, hanno esacerbato l'impatto dell'attacco, influenzando negativamente la protezione dei dati e la riservatezza degli interessati. (Tucker Solicitors LLP - https://ico.org.uk/media/action-weve-taken/mpns/4019746/tuckers-mpn-20220228.pdf)

Disponibilità

La disponibilità dei dati garantisce che le informazioni siano accessibili e utilizzabili su richiesta da parte delle persone autorizzate. Questo è essenziale per il normale funzionamento delle attività aziendali. Le organizzazioni devono implementare soluzioni di alta disponibilità (HA) e disaster recovery (DR) per garantire che i sistemi siano operativi e i dati accessibili anche in caso di guasti o disastri. Questo include l'uso di server ridondanti, bilanciamento del carico e backup regolari.

Ad esempio, un servizio di e-commerce deve garantire che i dati dei clienti e le informazioni sugli ordini siano sempre disponibili per elaborare gli acquisti e le richieste dei clienti. L'implementazione di una rete di server ridondanti e la replica dei dati in più sedi geografiche associati ad un adeguato sistema di protezione delle informazioni, assicurano che, in caso di un’interruzione di servizio causata da un guasto infrastrutturale o da un malfunzionamento applicativo, o ancora da un attacco informatico, i dati rimangano accessibili e il servizio continui senza interruzioni significative.

Resilienza

La resilienza dei sistemi si riferisce alla capacità di un'organizzazione di sopravvivere e riprendersi da incidenti che compromettono la sicurezza dei dati, come attacchi informatici, disastri naturali o guasti tecnici. Le organizzazioni devono implementare piani di continuità operativa (BCP) e disaster recovery (DR) che includano strategie per il ripristino rapido dei sistemi e dei dati.

Un esempio nel settore della tecnologia dell'informazione è l'uso di infrastrutture cloud che offrono resilienza intrinseca attraverso la replica dei dati e l'alta disponibilità. In caso di attacco DDoS (Distributed Denial of Service), i sistemi cloud possono bilanciare il carico tra più server e data center, mantenendo i servizi operativi. Inoltre, i piani di risposta agli incidenti e le esercitazioni regolari garantiscono che il personale sia preparato a rispondere rapidamente e efficacemente a qualsiasi interruzione.

Nel caso del Sąd Rejonowy Szczecin-Centrum, l'ordinanza del Prezes Urzędu Ochrony Danych Osobowych (UODO) riflette una mancanza critica nelle misure di sicurezza attuate per la protezione dei dati personali. Il tribunale è stato sanzionato per non aver garantito la confidenzialità, l'integrità, la disponibilità e la resilienza dei dati personali memorizzati su dispositivi di memoria portatili, evidenziando la necessità per le istituzioni giudiziarie di mantenere un livello di sicurezza che corrisponda al rischio associato al trattamento, assicurando una resilienza adeguata contro attacchi esterni o errori interni. La sanzione di 30.000 PLN riflette l'importanza di tali requisiti nel contesto del GDPR.

Capacità di Ripristino della Disponibilità e dell’Accesso ai Dati

L'art. 32 GDPR stabilisce requisiti rigorosi per garantire la sicurezza del trattamento dei dati personali, tra cui la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati in caso di incidente fisico o tecnico. In questo contesto, due componenti fondamentali emergono come essenziali: l'esecuzione di backup regolari e lo sviluppo di piani di ripristino, che includono piani di continuità operativa e di disaster recovery.

I piani di Continuità Operativa delineano le procedure che un'organizzazione deve seguire per mantenere le funzioni essenziali durante e dopo un disastro. Un piano di continuità operativa include l'identificazione delle risorse critiche, la definizione delle priorità di recupero e la pianificazione delle risposte immediate. Ad esempio, potrebbe includere l'assegnazione di ruoli specifici al personale per assicurare che le risposte siano coordinate ed efficienti. Inoltre, questi piani dovrebbero prevedere misure per comunicare con dipendenti, clienti e altre parti interessate durante un'interruzione del servizio.

I piani di Disaster Recovery sono specificamente focalizzati sul ripristino dell'infrastruttura IT e dei dati includendo strategie per ripristinare server, reti, applicazioni e dati entro un tempo accettabile per limitare l'impatto dell'incidente. La pianificazione del disaster recovery richiede un'analisi dettagliata dei rischi, la determinazione dei tempi di recupero accettabili (Recovery Time Objective - RTO) e degli obiettivi di punto di recupero (Recovery Point Objective - RPO). L'RTO stabilisce il tempo massimo accettabile per il ripristino delle operazioni, mentre l'RPO definisce la quantità massima di dati che possono essere persi in termini di tempo.

Per garantire l'efficacia dei piani di ripristino, le organizzazioni devono effettuare test regolari e aggiornamenti periodici dei piani stessi con simulazioni di disastri per valutare la capacità di risposta e la formazione del personale sulle procedure di emergenza.

In assenza di tali misure, il danno che il titolare o il responsabile del trattamento può subire non è solo relativo ai disservizi ma riguarda anche il piano sanzionatorio. il procedimento sanzionatorio contro il Comune di Østre Toten in Norvegia, comminato dall'autorità norvegese per la protezione dei dati. A seguito di un grave attacco informatico avvenuto il 9 gennaio 2021, che ha compromesso significativamente i sistemi IT del comune, l’Autorità ha imposto una multa di 4 milioni di NOK per le violazioni delle norme sulla sicurezza dei dati personali. Le carenze principali includono la mancanza di autenticazione a due fattori, sistemi di backup insufficientemente protetti, e una carente registrazione degli eventi importanti nella rete del comune.

Requisiti di Sicurezza e test

L'art. 32 GDPR impone alle organizzazioni di adottare misure tecniche e organizzative non statiche che devono essere soggette a continua verifica e miglioramento per rispondere efficacemente alle minacce emergenti. Un aspetto cruciale è costituito dalle procedure per testare, valutare e stimare l'efficacia delle misure di sicurezza.

La prima componente fondamentale è l'esecuzione di test di vulnerabilità che devono essere condotti regolarmente e mirano a individuare e correggere le vulnerabilità nei sistemi e nelle infrastrutture IT. La frequenza e la metodologia di tali test dipendono dalla natura e dalla complessità del trattamento dei dati, nonché dal livello di rischio associato. Un test di vulnerabilità tipico include l'analisi di tutte le possibili debolezze, come falle nei software, configurazioni errate, eccessivi privilegi di accesso e altre esposizioni che potrebbero essere sfruttate dagli attaccanti.

Parallelamente ai test di vulnerabilità, le organizzazioni devono condurre audit di sicurezza periodici. Gli audit di sicurezza rappresentano un'analisi sistematica e documentata delle politiche, delle procedure e delle pratiche di sicurezza. Essi mirano a valutare l'efficacia delle misure di sicurezza implementate e a garantire che siano conformi agli standard e alle normative vigenti.

Le procedure per testare, valutare e stimare l'efficacia delle misure di sicurezza sono essenziali per garantire che le organizzazioni non solo implementino misure di sicurezza adeguate, ma anche che queste siano efficaci nel tempo. La combinazione di test di vulnerabilità e audit di sicurezza offre una visione completa dello stato di sicurezza dell'organizzazione, identificando non solo le vulnerabilità tecniche, ma anche le lacune nei processi e nelle politiche di sicurezza. Questo approccio integrato assicura che le misure di sicurezza siano sempre aggiornate e adattate alle nuove minacce, proteggendo così i dati personali da possibili violazioni.

Nel contesto della protezione dei dati personali, l'importanza di tali procedure non può essere sottovalutata. Esse rappresentano non solo un requisito normativo, ma anche una componente essenziale di una strategia di sicurezza solida e proattiva. Attraverso la continua valutazione e il miglioramento delle misure di sicurezza, le organizzazioni possono ridurre significativamente il rischio di violazioni dei dati, salvaguardando così la fiducia dei clienti e la propria reputazione.