KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più

Vai al Video

Compliance Privacy e aspetti pratici: da dove cominciare?

Operare nel rispetto delle normative inerenti alla cosiddetta “privacy” e quindi essere GDPR compliance è qualcosa di sempre più necessario per i soggetti che anche incidentalmente si trovano ad avere a che fare con i dati personali; il tema tocca ormai anche gli MSP, che gestendo le infrastrutture dei clienti possono sia entrare in contatto con tali dati, sia essere coinvolti in una loro eventuale perdita o alterazione, avvenga essa in casa dei clienti o su strutture remote virtualizzate gestite dall’MSP.

In questo tutorial si entrerà in questo argomento, che è complesso in generale perché tra privacy, data breach, diritti degli interessati è abbastanza difficile scegliere l’approccio da adottare, almeno senza conoscere la materia.

La normativa sulla privacy per le aziende è un tema di notevole complessità e impegna in un percorso notevole per ogni organizzazione, che talvolta obbliga a rivolgersi a consulenti, a mischiare aspetti tecnici, legali e della sicurezza e che spesso impone di modificare l’organizzazione interna, perché ogni elemento dell’azienda deve essere consapevole e contribuire alla tutela della privacy.

Banner

Più aumenta il profilo del consumatore o del cliente in generale, più aumentano le richieste di tutela della privacy, che viene percepita come un fattore di qualità al pari di quella del prodotto o servizoo acquistato. In quest’ottica la privacy è qualcosa più di un semplice adempimento, ma può diventare un valore aziendale che può essere trasmesso al cliente.

La privacy può diventare un valore aziendale, un asset importante perché è qualcosa che permette di guadagnare la fiducia del cliente e quindi rassicurarlo; far capire ai propri clienti che si può difendere la loro privacy è un modo per guadagnare la loro fiducia e senza fiducia non si instaurano relazioni commerciali.

Rispettare le norme sulla privacy implica anche tempi e costi di adattamento dell’organizzazione: tempi perché non si fa tutto da un momento all’altro e costi perché occorre chiedere consulenza, adattare i propri strumenti IT e magari rivedere anche la struttura aziendale.

GDPR: scenari e opportunità per l’MSP

Il rispetto della privacy e quindi l’adeguamento al GDPR pongono l’azienda moderna di fronte a nuovi scenari (immagine seguente), che la riguardano direttamente e che aprono nuove strade anche alle consulenze esterne, coinvolgendo chi opera nell’IT. L’azienda moderna deve concepire la privacy come una formazione continua a tutti i livelli, sia in verticale sia in orizzontale, tanto che anche l’ultimo “gradino” e quindi anche la persona più lontana dai vertici aziendali e dall’amministrazione, deve essere consapevole delle tematiche inerenti alla privacy ed essere in grado, per quanto di sua competenza di poterla affrontare. Infatti la tutela della privacy non è solo materia degli uffici amministrativi.

Nell’azienda moderna e nell’era informatica, tutto ormai passa dall’IT: dal sito web al gestionale, dalla modulistica alla conservazione dei dati, quindi l’adeguamento al GDPR coinvolge inevitabilmente gli operatori IT. Questo diventa quindi occasione per la fornitura di nuovi servizi dedicati al rispetto della privacy, soprattutto per chi fornisce consulenza IT e quindi anche per gli MSP, perché gestire le infrastrutture dei clienti implica di venire in contatto con i dati che essi manipolano e conservano e quindi di dover avere competenza in merito alla privacy e alla tutela del dato.

Si tratta di una nuova opportunità di business per gli MSP, in quanto la normativa privacy obbliga a modificare anche le strutture tecniche, gli apparati tecnici, gli strumenti informatici utilizzati dalle aziende e quindi a passare da tecnici del settore IT. Per essere conformi alla normativa, e c'è ancora poca consapevolezza di questo aspetto, diventa necessario modificare asset, programmi, software e anche la stessa configurazione della struttura informatica di un'azienda.

Privacy e GDPR possono però rappresentare sfide impegnative per gli MSP, perché se è vero che aumenta il lavoro per adeguare le infrastrutture e i software delle aziende, è vero altrettanto che ispezioni e sanzioni da parte del garante possono in qualche maniera coinvolgere chi fa assistenza IT e fornitura di soluzioni informatiche aziendali.

Ai fini della gestione MSP il provider non deve entrare nel merito di ogni cliente per capire se sta trattando dei dati personali, ma deve sempre operare come se lo facesse; a riguardo è opportuno precisare che il garante ha già definito la risposta a questa problematica ed è che laddove ci sia un dubbio sulla natura dei dati trattati, occorre trattarli com e dati personali e quindi adottare le cautele del caso.

Sicuramente la crisi innescata dalla pandemia di COVID-19 ha dato ulteriore tempo alle aziende per adeguarsi al GDPR e ha limitato l’attività del nucleo ispettivo della Guardia di Finanza deputato alla tutela della privacy, però il problema va considerato.

Le sanzioni possono essere di grossa entità, se si pensa che nel 2020 a Vodafone sono stati comminati oltre 12 milioni di sanzione per mancato rispetto della privacy.

Non va scordato che il fatto di non essere conforme alla privacy comporta anche che i propri prodotti per esempio informatici o anche altri non siano vendibili perché non concepiti nel rispetto del GDPR e quindi il cui utilizzo espone a sanzioni.

Compliance Privacy come valore aggiunto

Essere conformi al GDPR e alle norme sulla privacy oggi è un valore aggiunto, specialmente quando si ha clientela di alto profilo che vuole sia prodotti di livello, sia avere a che fare con aziende che gli garantiscono che i dati personali non siano sbandiarati ai quattro venti, come purtroppo accade sempre più: si entra in un negozio, si compila un form, si partecipa a un survey su un prodotto o si configura un dispositivo mobile e si lasciano i propri dati, quindi si teme sempre che quelli finiscano venduti in pacchetti a chi da digital marketing o peggio a chi fa marketing telefonico.

Attualmente, soprattutto nel caso informatico, dove c'è una sorta di trasparenza dei sistemi informatici rispetto all’utente, quanto più c’è questa situazione di trasparenza e di non comprensione di quello che c’è dietro, tanto più l'utente chiede tutela e non può farlo se non attraverso la fiducia: il cliente non può verificare i sistemi né può andarci dentro a capire come funzionano;  si deve fidare e chiaramente se chi offre i servizi ha un approccio attento a queste tematiche e lo fa capire al cliente, quest’ultimo avvia un rapporto di fiducia perché è sicuro che si stiano gestendo in modo corretto i suoi dati. Soprattutto quando si tratta di software o servizi particolarmente delicati per l’utente.

Privacy: gli adempimenti più complessi

Vediamo alcuni adempimenti fra i più complessi, giusto per dare un quadro della situazione e di cosa implica la tutela della privacy a livello pratico.

Uno è la contrattualistica: in ambito privacy diventa fondamentale regolare la contrattualistica e se si è un MSP bisogna gestire bene il DPA e il contratto ex Articolo 28 che regolamenta come l’operatore IT gestisce i dati per conto del cliente e se il cliente dell’MSP è un titolare del trattamento o un contitolare, da fornitore che gestisce quei dati deve redigere un contratto che regolamenti come verrà svolto il trattamento, con quali garanzie ecc. per tutelare sia se stesso, sia il cliente.

Se il Managed Service Provider deve gestire sistemi informatici di clienti che trattano dati personali, esso stesso è coinvolto nel trattamento dei dati personali: nel momento in cui accede ai sistemi tratta dati personali e quindi deve rispettare il GDPR.

Dunque, l’MSP è un responsabile (non titolare) del trattamento secondo l’articolo 28 del GDPR, che recita: “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato”.

Il cliente definisce l’ambito operativo, ossia quali operazioni sui suoi sistemi informatici l’MSP è autorizzato a compiere e quest’ultimo tratta i dati per conto del cliente secondo quanto pattuito nel contratto di assistenza e fornitura.

Ne deriva che l’MSP deve pretendere che siano chiarite le sue competenze in fase di stipula del contratto e deve quindi accertarsi di poter adempiere ai relativi obblighi, onde evitare vertenze con il cliente e sanzioni dall’Autorità Garante.

Parte fondamentale del contratto tra cliente ed MSP è il Data Process Agreement (DPA) che definisce le regole di trattamento dei dati personali, perché l'articolo 28 prevede che vi sia un documento scritto firmato (anche in modalità elettronica, con la firma elettronica) contenente le misure adottate.

Ciò comporta tutta una serie di obblighi che vanno dall’avere istruzioni scritte al garantire la riservatezza del personale coinvolto, al garantire i diritti degli interessati assistendo il titolare del trattamento.

Il secondo adempimento complesso è quello che tocca la tematica dei diritti degli interessati, ossia bisogna garantire l’esercizio in modo agevole dei diritti degli interessati cioè delle persone cui i dati si riferiscono e che magari chiedono di esercitare i loro diritti perché è una chiave per evitare vertenze.

Questo non è solo un fatto giuridico che riguarda gli avvocati, ma coinvolge molto i tecnici IT: concetti come diritto di limitazione di trattamento, portabilità dei dati o decisioni unicamente automatizzate riguardano gli MSP. Per esempio se un’azienda cliente riceve la richiesta di un interessato che vuole esercitare il diritto di limitazione del trattamento dei dati personali il cliente chiama l’MSP chiedendogli come farlo con gli strumenti informatici e l’MSP deve sapere di cosa il cliente stia parlando e sapere anche come operare nei suoi sistemi informatici per soddisfare la richiesta. È necessario gestire sotto il profilo tecnico gli strumenti informatici: l’avvocato può dare indicazioni ma il tecnico che deve affrontare le tematiche come anche la portabilità dei dati è che li il tecnico deve collaborare e dare il suo contributo professionale per riuscire a realizzare il diritto dell'interessato in relazione alla portabilità dei dati.

Così anche per quanto riguarda le decisioni automatizzate, ma questi sono solo esempi perché l’ambito dei diritti degli interessati è pieno di tematiche tecniche.

Come accennato, si apre la strada a servizi professionali per la privacy da parte degli operatori IT, nel rendere compliance gli strumenti informatici per poter soddisfare i diritti degli interessati che sono particolarmente rilevanti, perché se l’interessato non si ritiene soddisfatto nell’esercizio dei suoi diritti può segnalare la cosa al Garante. Un’azienda che a fronte di una richiesta dell'interessato non ha risposto e diventa oggetto di un reclamo al Garante e che magari, di fronte a una richiesta di chiarimenti da parte del Garante non risponde, rischia pesanti sanzioni; una situazione reale del genere, dopo le verifiche del Garante ha determinato una sanzione di 80.000 euro di multa. Il tutto, solo per non aver risposto alle richieste del Garante.

Altro adempimento critico è l’analisi e gestione del rischio: un’analisi è assolutamente necessaria e preliminare all’adozione di qualunque contromisura necessaria per mitigarlo.

Tale analisi incombe principalmente sull’MSP e il problema che si riscontra spesso nei tecnici non è che non sappiano fare l’analisi e gestione del rischio ma che non la sappiano documentare, scrivere e redigere materialmente.

L’analisi del rischio è un qualcosa dove si mette nero su bianco quali macchine e sistemi si utilizzano per la gestione del dato personale, qual è il loro livello di rischio relativamente ad alcuni aspetti (perdita dei dati, effrazione ecc.) ed altro ancora.  

Anche questo è un servizio che l’MSP si trova spesso a dover offrire al proprio cliente, perché è l’MSP che gestisce le strutture informatiche dei clienti e che quindi in grado di fare un’analisi e gestione del rischio delle infrastrutture del cliente. Il cliente è colui che le deve adottare, ma l’analisi e la creazione delle contromisure sono materia di competenza dell’MSP

Se non viene fatto quel documento e arriva magari un’ispezione della Guardia di Finanza, il titolare del trattamento a questo punto fa riferimento all’MSP e se questo si ritrova senza una strategia di analisi e gestione del rischio ne nasce una vertenza.

Certamente rilevante è anche la gestione data breach, altro tema particolarmente cruciale in ambito della compliance privacy; qui è necessaria la predisposizione di una procedura per la gestione data breach che deve essere fatta prima e non è improvvisata all’ultimo momento, quando si verifica. Anche perché c’è tutta una serie di adempimenti che sono in parte tecnici e in parte legali, ma che il tecnico deve essere in grado di gestire, prendendo decisioni con una certa velocità, avendo quindi capacità di valutare in modo immediato questo quest’aspetto.

Banner

Un adempimento fondamentale e complesso è quindi la Gestione del Rischio secondo l’art. 32 GDPR, correlato all’assistenza in caso di Data Breach (art. da 32 a 36). L’MSP deve assistere il cliente nella gestione del rischio, concordare degli audit che cliente può fare relativamente alle strutture, controllare i sub-responsabili del trattamento, che esistono nel caso ci si avvalga di terzi per la fornitura di server, servizi Cloud o simili (sub-responsabili del trattamento sono anche i fornitori di infrastrutture di cui l’MSP si avvale per svolgere la propria opera a favore del titolare del trattamento).

L’analisi del rischio sostanzialmente è un documento dove si mettono in ordine una serie di elementi che sono e che possono avere carattere informatico per capire qual è il rischio e quale rischio si accetta e su quale rischio possiamo eventualmente intervenire per ridurlo.

Per esempio Coretech offre tutta una serie di strumenti di sicurezza che sono volti a impedire che determinate vulnerabilità dei sistemi informatici possano dar luogo a un data breach e a una violazione dei dati personali; chiaramente l’azienda fa una valutazione e poi sulla base di questi strumenti può scegliere quale è più idoneo in relazione tipologia di struttura informatica che il titolare utilizza utilizza. C’è sempre una personalizzazione perché non tutti i titolari del trattamento sono uguali.

Chiaramente un MSP, fatto il lavoro per il primo cliente avrà una base che potrà utilizzare per gli altri, perché  alcuni elementi sono in comune tra tutte le realtà dello stesso tipo.

Banner

MSP e GDPR- procedure aziendali a garanzia dei diritti

La gestione data breach è un tema sul quale c’è ancora poca consapevolezza, perché molte aziende titolari del trattamento non ci pensano in anticipo, ma ritengono che nel momento in cui si dovesse verificare un problema poi chiameranno qualcuno, la società di informatica e chi ha fatto il documento su GDPR e privacy e si faranno dire che cosa devono fare. Però il punto è che non c'è tutto questo tempo per agire, in quanto il tempo a disposizione secondo la normativa è al massimo  72 ore dal verificarsi del data breach alla segnalazione al Garante, nei casi che lo richiedono.

Redigere la procedura di gestione data breach è determinante perché oggi molti soggetti, prima di stipulare un contratto un MSP, chiedono per prima cosa se ha l’analisi del rischio relativamente alla sua attività, perché un provider che non sappia spiegare cosa farà in caso di effrazione dei sistemi e fuga di dati non fornisce garanzie al cliente né lo rassicura in merito agli obblighi che esso ha alla luce del GDPR.

Sostanzialmente la gestione data breach è una procedura da seguire in caso di effrazione, che espone quali strumenti adottare tra quelli disponibili, come identificare il livello di gravità e valutare se avvertire il titolare del trattamento, indirizzare verso l’eventuale segnalazione al Garante ecc.

Se il contenuto dei dati non è uscito dai server del titolare del trattamento non occorre fare la notifica al Garante, ovvero fare comunque tale notifica ma comunicare prima di tutto l’accaduto  agli interessati.

Le valutazioni sul fare o meno la notifica al Garante perché c’è un rischio probabile o non c'è un rischio probabile, devono essere svolte entro le 72 ore; idem per la comunicazione agli interessati, considerando che se c’è un rischio elevato occorre procedere senza ingiustificato ritardo, quindi anche prima delle 72 ore lasciate dal GDPR: è il caso, ad esempio, di esami o accertamenti fatti dallo studio medico e che possono influire sull’esito di una terapia o di un imminente trattamwento chirurgico.

Quindi l’MSP si trova nella situazione che a fronte dell’evento deve fare tutta una serie di adempimenti e per l’eventuale notifica al Garante è necessario seguire una procedura ben chiara e precisa, compilando un modulo abbastanza complicato che racchiude tutte queste informazioni e  anche altre; bisognerà anche comunicare al Garante tutta una serie informazioni come la natura della violazione e indicare quei contenuti che gli sono necessari per consigliare al titolare del trattamento cosa fare in relazione all’evento data breach: ad esempio rifare le analisi, ricercare copia (se esiste) dei dati se si sono perduti, perché magari il backup non ha funzionato, e via di seguito.

Il cliente e l’MSP in solido deve essere in grado subito, sulla base delle procedure adottate, di intervenire in relazione al livello di gravità della situazione.

Sempre con riferimento all’art. 28 del GDPR, l’MSP che gestisce i dati del titolare del trattamento deve espletare quanto riportato nel prospetto seguente.

Per essere GDPR compliance, l’MSP dev’essere in grado di dare supporto immediato e allo scopo deve avere una scaletta delle cose che bisogna fare immediatamente, perché chiaramente se arriva un attacco informatico l’MSP gestisce tutta l’infrastruttura del cliente, quindi non è che il cliente è in grado di gestire il database e quant’altro. Il supporto fornito non deve essere necessariamente gratis ma a pagamento, perché è richiesto un lavoro notevole per poter mettere in piedi tutto ciò che va fatto.

Per quanto riguarda la procedura aziendale a tutela dei diritti degli interessati, l’articolo 12 paragrafo 1 e in particolare l'articolo 5 paragrafo 2 stabiliscono che il titolare è obbligato ad adottare misure appropriate per garantire l'esercizio dei diritti da parte degli interessati e una delle violazioni che il Garante sanziona più pesantemente è il non avere predisposto quelle misure idonee a soddisfare e garantire i diritti degli interessati. Questa condotta viene vista come un dolo, come una consapevolezza di non voler rispettare il regolamento e quindi viene sanzionato pesantemente.

Un tassello importante è la formazione all’interno dell’azienda proprio sui diritti degli interessati; è un aspetto molto rilevante perché chi non sa che cosa deve fare non potrà mai soddisfare i requisiti del GDPR.

Tra gli adempimenti preventivi c’è sicuramente la redazione di un modulo di esercizio dei diritti per cui l'interessato che lo chiede ha direttamente la possibilità compilarlo ed esercitare i diritti in modo facile ed accessibile; ciò semplifica anche il lavoro del titolare del trattamento, perché permette di organizzare meglio la gestione e di avere una tempistica certa di evasione delle richieste, nonché di avere un registro delle richieste degli interessati per poter catalogare ed elencare queste richieste che ovviamente ti potranno essere utili anche per dimostrare la compliance all’obbligo di tutela dei diritti degli interessati.

Occorre predisporre un organigramma un referente privacy interno che si occupi di questa unità organizzativa e delle richieste degli interessati che possono essere a seconda della tipologia di azienda un team oppure una singola persona che deve anche potersi relazionare con le altre funzioni aziendali, avendo i poteri necessari per chiedere alle altre funzioni aziendali informazioni necessarie per rispondere ai diritti degli interessati.

Banner

Ad esempio se viene chiesto di avere l'accesso ai propri documenti, il referente privacy deve avere la possibilità di andare all’Unità organizzativa preposta per poter ottenere questi documenti; bisogna anche predisporre una procedura specifica, pianificare una procedura operativa interna che permette di capire come gestire queste richieste dei diritti degli interessati, che a seconda del tipo di azienda o studio professionale, varierà diventando anche praticamente complessa in relazione a determinate situazioni.

Quarto e ultimo punto è stabilire clausole contrattuali che possano permettere di tutelare i diritti dell’interessato; tipicamente il titolare del trattamento che si avvale di un MSP pretende che questo  faccia l’impossibile ad esempio per fare un’estrazione di dati o per vedere, in caso di accesso ai dati, di poter estrapolare i dati che sono necessari, ma anche per esempio se in un sito web si cita un determinato interessato e questo chiede la cancellazione del dato deve poter chiedere al fornitore di cancellare quel dato.

Gestione del rischio per mitigarlo

Per mitigare il rischio occorre conoscerlo e valutarlo, quindi capire che misure adottare; allo scopo occorre prima fare un’analisi dell'organizzazione e capire il contesto, secondo un metodo analitico e ben organizzato, basato ad esempio su alcune domande chiave.

Poi va creato un organigramma degli asset dell'organizzazione, vanno attribuiti i valori RID (Riservatezza Integrità e Disponibilità dei dati) per capire che tipo di dati personali sono trattati da quegli asset e quindi in relazione alla tipologia dei dati personali qual è il livello di rischio nel caso si verifichi una violazione dei dati personali in relazione con gli asset.

In sintesi, gestione e mitigazione del rischio passano attraverso quattro fasi principali:

  1. analisi dell’organizzazione: contesto in cui opera, organigramma, mappatura asset dell’organizzazione e attribuzione valori RID;
  2. mappatura personalizzata dei rischi secondo un metodo che individui i rischi e calcoli anche la loro pericolosità per l’organizzazione;
  3. trattamento personalizzato del rischio con misure di contrasto del rischio personalizzate per ogni singola organizzazione;
  4. riduzione del “rischio accettabile” ossia valutare con documento scritto se le misure applicate rendono il rischio accettabile.

Riguardo al primo punto, il contesto può essere la collocazione fisica: per esempio il posto dove risiedono i server: se sono in uno scantinato facilmente allagabile il rischio è alto, mentre se si trovano a un piano alto è ridotto; quanto all’organigramma, il numero di addetti e l’eventuale cambiamento periodico influiscono sul livello di rischio.

La mappatura degli asset riguarda ad esempio il numero e le caratteristiche delle macchine utilizzate, mentre i valori RID (Riservatezza Integrità Disponibilità) permettono di capire, asset per asset, qual è la sua importanza e quante contromisure adottare per esso. Per esempio se il dato personale consiste in ricette mediche il rischio è molto elevato, sia che si tratti di perdita di riservatezza, sia nel caso di perdita di integrità: per esempio se viene persa l’integrità delle analisi del sangue di un paziente il danno può essere molto grave.

Completato il primo step, si passa a fare una mappatura personalizzata dei rischi, utilizzando un  metodo che identifichi quali sono le minacce e faccia un calcolo in relazione alla pericolosità che ha per l’organizzazione, tenuto conto del livello di probabilità e di vulnerabilità.

Il passo successivo riguarda il trattamento personalizzato del rischio, ossia definire misure di contrasto del rischio individuato, che devono essere personalizzate per ogni organizzazione perché ogni realtà ha una situazione specifica e configurazioni caratteristiche di server, sedi, asset in generale. Un esempio di trattamento è l’adozione di un firewall perimetrale, che ormai oggi, in un mondo connesso, è determinante.

L’ultimo step consiste nel definire qual è il rischio accettabile, ossia il margine oltre il quale non si può andare; questo concetto si comprende considerando che nessun rischio può essere escluso e che quindi occorre definire la soglia di “problema” che in relazione all’azienda, se si verifica costituisce un problema inaccettabile. Quindi se non si può eliminare il rischio occorre valutare come ridurlo, se possibile.

Ad esempio se si utilizza un algoritmo di crittografia e questo ha una vulnerabilità molto remota, quello è il rischio, ma documentandolo adeguatamente si può far capire quanto sia accettabile. Un ulteriore esempio può essere quello di un MSP che tratta dati di clienti e che eseguendo backup ogni giorno può garantire la disponibilità del dato risalente al più alle 24 ore precedenti; sta poi al cliente valutare se perdere i dati di una giornata è un rischio accettabile.

Documentare condizioni del genere significa fornire al cliente un’idea che gli permetta di stabilire se il rischio è accettabile ed eventualmente di mitigarlo.

Il tutto aiuta anche l’MSP a valutare con che cliente ha a che fare e se rinunciare a determinati trattamenti perché il livello di rischio è troppo alto, a meno di non aumentare le contromisure perché deve contenere il rischio.

Quel che conta è sapere come comportarsi e implementare procedure tali che in caso di data breach, il danno sia limitato e sia dimostrabile che il service provider abbia una strategia di uscita ed abbia espletato le pratiche per evitare l’incidente.

Quanto elencato riguarda la propria organizzazione, però nel momento in cui un MSP “mette le mani” nei sistemi del cliente si pone il problema che siccome i dati del cliente devono essere comunque trattati in modo conforme al GDPR, anche il cliente dovrebbe avere l’analisi e gestione del rischio. Questo documento deve esserci perché deve dare delle istruzioni allo stesso MSP riguardanti le modalità di trattamento dei dati e quindi l’ideale sarebbe che l’MSP facesse un’analisi e gestione del rischio dei sistemi informatici definendo anche l’ambito per il cliente e che il cliente stesso lo adottasse, mettendo in atto anche una serie di misure che consistono eventualmente in report che l’MSP fa al cliente ogni 2-3 mesi riportando determinate attività che sono state svolte e allegando una relazione in merito all'attività. Questo, anche al fine del miglioramento dei sistemi.

Tale problema si riflette molto su quei particolari servizi ad alta sofisticazione informatica, dove quando lo strumento informatico utilizza tecnologie innovative e quindi nuove tecnologie. Addirittura il GDPR prevede, ex articolo 35, di fare una valutazione d’impatto sulla protezione dei dati e quindi di fare una specifica analisi e gestione del rischio quando l’utilizzare la tecnologia può portare a rischi elevati per i diritti e le libertà degli interessati.

Quindi il consulente informatico diventa un asset fondamentale a supporto dell’azienda che deve confrontarsi con il GDPR, ma per essere tale non può limitarsi a fare il tecnico: deve saper  produrre documenti e deve produrli conformi alla normativa.

La tematica della privacy è determinante non solo per tutelarsi dalle ispezioni della Guardia di Finanza ma anche in caso di fusione tra aziende: se una delle due non ha sufficiente compliance privacy diventa un ostacolo notevole per la fusione o per l'acquisto dell'azienda da parte di un’altra perché l’acquirente sa bene che si porterebbe dietro tutti i problemi del caso.

Spesso chi lavora nell’IT dovrebbe essere per primo ad adeguarsi e allinearsi per avere quella cultura della privacy che poi deve trasmettere all’azienda cliente; peraltro le grandi aziende sono entrate in questa cultura se non altro per evitare le sanzioni, più che per costruire valore aziendale, ma le piccole e medie possono vedere la tutela della privacy come asset che le valorizzi nei confronti della clientela.

Adempimenti gestione Data Breach

La gestione efficace degli incidenti data breach prevede una serie di adempimenti, anche formali, che se non svolti dall’MSP lo pongono nella condizione del dolo, ossia lo fanno passare dalla colpa (inadempienza) al dolo (inadempienza cosciente) assoggettandolo a pesanti sanzioni.

Siccome il rischio che si verifichi una data breach è probabile, l’MSP deve valutare le strategie da adottare per affrontarlo, considerando anche che nella sua attività l’ MSP si trova di fronte a situazioni di vario genere, perché può avere società clienti operanti in vari settori di attività.

Le cinque fasi principali, ciascuna delle quali rappresenta un adempimento, sono schematizzate dall’immagine seguente come una scala che si percorre dal punto più in basso a quello più in alto.

Più esattamente, le regole basilari sono le seguenti a partire dall’alto:

  • è essenziale provvedere alla formazione di tutto il personale dell’organizzazione che seguiamo in qualità di MSP, con diversi approfondimenti a seconda della competenza di ciascuno; la formazione è uno dei requisiti del GDPR a tutti i livelli gerarchici dell’azienda e ciascun membro deve sapere quantomeno il necessario per affrontare un’eventuale data breach o sapere chi deve chiamare se la riscontra;
  • è necessario prevedere un registro data breach in cui annotare gli incidenti di sicurezza e i relativi episodi, sia per ragioni organizzative e di pianificazione, sia perché durante le eventuali ispezioni della Guardia di Finanza (nucleo speciale tutela della privacy), tale registro è uno dei primi adempimenti che vengono richiesti; l’MSP ha una particolare responsabilità sotto questo aspetto;
  • l’analisi di rischio residuo deve prevedere controlli proattivi finalizzati a gestire le data breach, tenendo conto del tipo di rischio prevedibile;
  • bisogna creare un’unità organizzativa preposta alla gestione data breach operativa 365 giorni all’anno e composta da personale competente;
  • occorre preparare una procedura e un manuale di gestione data breach che contemplino casi, fasi, tempistica, responsabilie sintesi delle modalità operative.

La strategia passa per una serie di adempimenti e per una procedura di gestione data breach che comporta innanzitutto la creazione di una sorta di manuale di gestione data breach comprendente i casi, le fasi, la tempistica, i responsabili e fare le sintesi delle modalità operative.

L’unità organizzativa è quello che può essere considerato il “comitato data breach” che si occupi 365 giorni all’anno della gestione delle data breach, perché i tempi di reazione dal punto di vista normativo sono di 72 ore e quindi ai tempi strettissimi. Per esempio in un sistema informatico in rete, operativo costantemente, un attacco informatico può verificarsi anche a Natale o a Capodanno è la normativa prevede 72 ore a prescindere dal momento in cui si verifica, pertanto l’unità organizzativa deve poter reagire in tempo.

Dentro questo “comitato data breach” di solito c’è il referente privacy, l’eventuale DPO (Data Protection Officer) ed un responsabile tecnico, ma potrebbero esserci altre figure in base all’attività dell’organizzazione: per esempio se l’azienda fa commercio elettronico il comitato può comprendere il responsabile marketing.

Per quanto riguarda l’attuazione di controlli proattivi si intende qualcosa di diverso dai controlli finalizzati a impedire il realizzarsi della minaccia: si tratta di quelli che devono scattare a minaccia in atto o avvenuta, quindi, se c’è già stato un cyber-attacco al server con violaziona della riservatezza delle password, un controllo proattivo può consistere nell’isolare il server dalla rete aziendale o nell’utilizzo di sistemi di forzatura  delle password. Questo comporta una collaborazione fra l’MSP e il cliente titolare del trattamento perché il cliente non sa fare certe cose.

Quanto elencato è in sintesi quello che un MSP deve porre in essere, perché egli ha una responsabilità enorme in quanto sostanzialmente ha le chiavi dell'azienda: se preme il pulsante sbagliato può cancellare tutti i dati dell'azienda o se glielo preme qualcuno perde i suoi sistemi.

Chiaramente in questo ha un ruolo importante la formazione del personale, perché occorre far sì che l’organizzazione sia in grado di soddisfare i requisiti del GDPR dal più piccolo elemento al livello più elevato, perché anche la segretaria che apre una e-mail sbagliata può comportare una grave violazione e quindi deve sapere, se non come affrontare il problema, a chi rivolgersi affinché sia questi a farlo.