Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

KNOWLEDGE BASE

Knowledge Base

Vai al Video

MSP e Privacy: evitare le sanzioni

Quello della responsabilità del provider di servizi IT ed in particolare di chi gestisce le infrastrutture di soggetti che devono avere a che fare con i dati personali in ottemperanza al GDPR, è un tema del quale parecchi MSP e System Integrator ancora non hanno compreso la portata.

Considerato che un MSP che debba gestire le infrastrutture IT di un’azienda Titolare del trattamento diventa automaticamente un responsabile del trattamento o meglio, un corresponsabile, informare il provider sui doveri e le responsabilità che ne derivano è importante, affinché sappia se accettare un incarico e come strutturare il contratto al fine di tutelarsi dalle conseguenze di incidenti come le Data Breach e di eventuali inadempienze del Titolare del trattamento.

Questo tutorial verte sproprio su tali argomenti, che sono diventati attuali e imperativi in special modo dopo l’irrogazione delle prime sanzioni, da parte della Guardia di Finanza, ad MSP per temi connessi alla gestione privacy di loro clienti.

MSP e privacy

La Legge sulla Privacy comporta una serie di obblighi da parte del Titolare del trattamento che, siccome oggi si lavora con programmi, computer, Cloud e in generale con strumenti IT, inevitabilmente implicano obblighi in solido anche per il consulente o l’azienda IT che si occupa della gestione delle infrastrutture con cui avviene il trattamento. Proprio per la complessità dell’IT,  molti titolari e responsabili del trattamento vanno a delegare la parte informatica ad un MSP ed è allora che si pone la tematica del rapporto fra titolare del trattamento e operatore IT.

Per dare un’idea di cosa implichi questo discorso, si possono analizzare due situazioni reali che hanno visto citati degli MSP.

La prima riguarda l’Ente pubblico Roma Capitale che, per la gestioni delle prenotazioni delle pratiche amministrative sanitarie aveva delegato un’azienda allo sviluppo della relativa piattaforma on-line; in questo software on-line per pratiche amministrative e sanitarie erano gestiti dati comuni anche dati sanitari e la società informatica terza prestava l'assistenza tecnica in relazione alla gestione di da remoti del software in cui venivano trattati dati personali.

Il Garante ha aperto un’ispezione nei confronti dell’ Ente pubblico Roma Capitale e in base alle risultanze avvia un’ispezione anche presso il fornitore (la società informatica delegata all’assistenza IT sulla piattaforma) sollevando una serie di contestazioni, tra cui:

  • mancanza dell’informativa a utenti e dipendenti sul trattamento dei dati personali (ciò implicava indirettamente un controllo dei lavoratori in violazione all’articolo 4 dello Statuto dei lavoratori);
  • violazione di misure tecniche organizzative per l’utenza condivisa a livello di root del server;
  • mancanza di una procedura di abilitazione degli operatori;
  • utilizzo, nella connessione alla piattaforma, di protocolli non sicuri come l’http;
  • il software non consentiva la cancellazione dei dati personali entro un certo periodo e permetteva l’estrazione dei dati in Excel da tutte le utenze dei tecnici;
  • mancanza della nomina della società informatica come Responsabile del trattamento ex ar. 28 del GDPR in relazione all’attività di supporto e assistenza tecnica.

Quest’ultima contestazione nasce dal fatto che chiunque accede ai dati per conto del Titolare del trattamento deve ricevere la nomina di Responsabile del trattamento e tale nomina va formalizzata, altrimenti si opera illecitamente.

Quindi l’MSP o System Integrator deve avere un contratto secondo l’articolo 28 GDPR che disciplina le modalità con avviene l’accesso ai dati; l’unica eccezione ammessa dal Garante riguarda l’ipotesi dell’assistenza via e-mail, ovvero un’assistenza sui sistemi e i software ma che non implichi per l’MSP l’accesso ai dati, quindi l’allegato di dati, estrazioni Excel, schermate, condivisioni del desktop ecc.

Banner

La gestione dell’utenza condivisa a livello di root riguarda sovente l’assistenza, perché magari l’azienda IT ha più tecnici che condividono un’utenza a livello root: si sta parlando dell’account amministrativo col quale si accede al server, che nel caso di una macchina Windows è generalmente Administrator o qualsiasi account appartenente al gruppo Administrator. Nello specifico il rilievo mosso è che a un generico account amministratore accedevano più persone, che quindi non erano identificabili e non era quindi possibile correlare a un evento di gestione dei dati l’operatore corrispondente.

Questo costituisce una violazione della sicurezza perché non si può attribuire un'utenza un account più persone ma ogni persona deve avere un account anche a livello amministratore

A fronte di questa situazione il Garante ha sanzionato l’Ente pubblico Roma Capitale con 500.000 euro e la società informatica con 40.000 euro di multa; un danno patrimoniale cui si aggiunge quello d’immagine derivante dalla pubblicazione, sul sito del Garante, del suo nome e del relativo accertamento con evidenti le infrazioni contestate.

Compliance Privacy: sanzioni ridotte se l’MSP è diligente

Una seconda situazione reale che è interessante analizzare riguarda la Regione Lazio e l’appalto ad un call-center informatizzato riguardante la raccolta e la gestione delle prenotazioni di prestazioni sanitarie, con quel che ne segue in fatto di raccolta e conservazione dei dati personali attraverso una piattaforma IT; questo caso è importante perchè il Garante ha apprezzato la diligenza dell’MSP, mitigando la relativa sanzione.

In pratica la Regione Lazio affidava l’appalto a un provider ma non provvedeva alla nomina del Responsabile del trattamento; per effetto di ciò il Garante le comminava 75.000 euro di sanzione con pubblicazione sul sito, mentre nei confronti della cooperativa che gestiva il call-center si limita alla sanzione dell’ammonizione senza pagamento di una somma economica, perché la cooperativa aveva adottato delle misure di compliance privacy come per esempio il registro dei trattamenti ed inoltre si era correttamente qualificata nei confronti della Regione Lazio come Responsabile del trattamento e aveva sollecitato più volte la regione Lazio a firmare un contratto proprio per la gestione del rapporto come Responsabile del trattamento ex articolo 28 GDPR.

L’ammonizione è una sanzione che ha valore solo in caso di recidiva da parte del soggetto sanzionato e non comporta la pubblicazione sul sito del Garante.

Questo esempio dimostra che se l’MSP espleta tutte le procedure previste e si adopera fornendo collaborazione fattiva per favorire la tutela dei dati, viene sollevato dalla responsabilità derivante dall’inadempienza del cliente.

Ruolo dell’MSP in ambito privacy e obblighi correlati

Il Managed Service Provider, in qualità di soggetto che gestisce i sistemi dei clienti soggetti al GDPR è sottoposto alla disciplina art. 28 del GDPR stesso, perché svolge attività come progettazione di sistemi informatici, monitoraggio e aggiornamento, gestione sicurezza, backup e disaster recovery, fornitura di servizi informatici.

Il Managed Service Provider gestisce sistemi informatici di terzi clienti che possono essere medici, avvocati, commercialisti, ma anche società ed enti; si trova quindi di fronte a una varietà di documenti che possono essere fascicoli sanitari, atti legali, contratti e comunque a dati sensibili.

Quindi il Managed Service Provider, in forza del fatto che gestisce i sistemi informatici dei clienti, rientra nella sfera del trattamento dei dati, sia perché può avere accesso ad essi, sia perché è sua cura adottare le strategie per contenere situazioni come le Data Breach e la perdita dei dati. Questo coinvolgimento nel GDPR è tanto più forte se l’MSP gestisce i dati personali per conto dei propri clienti; non esiste, invece, se trattasi di sistemi informatici  industriali.

La disciplina (articolo 28) prevede che venga firmato, anche elettronicamente, un DPA (Data Process Agreement) ossia un accordo che presuppone che il cliente abbia fatto una valutazione delle garanzie da parte della responsabile, di mettere in atto tutte quelle misure tecnico-organizzative che soddisfino i requisiti del regolamento e che garantisca i diritti degli interessati.

Il DPA deve contenere una serie di obblighi contrattuali e definire le regole di trattamento dei dati personali, perché l'articolo 28 prevede che vi sia un documento scritto firmato contenente le misure adottate.

Il primo paragrafo dell’articolo 28 precisa che nel momento in cui il titolare del trattamento affida ad un responsabile del trattamento la gestione dei dati per suo conto, il responsabile del trattamento deve fornire garanzie sufficienti, ossia mettere in atto misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del GDPR. Tali garanzie vanno dalla gestione del rischio all’assistenza in caso di Data Breach, comprendendo quanto riportato nel prospetto dell’immagine seguente.

 

La compliance GDPR dell’MSP  uno dei principali elementi che il cliente deve valutare, nel senso che le aziende titolari del trattamento di dati personali si accertano che il proveder possa fornire le garanzie del caso. Il cliente definisce l’ambito operativo, ossia quali operazioni sui suoi sistemi informatici l’MSP è autorizzato a compiere; quindi l’MSP tratta i dati per conto del cliente secondo quanto pattuito nel contratto di assistenza e fornitura.

Banner

Ne deriva che l’MSP deve pretendere che siano chiarite le sue competenze in fase di stipula del contratto e deve quindi accertarsi di poter adempiere ai relativi obblighi.

Per farlo deve aver chiari gli obblighi incombenti sul titolare del trattamento, che sono:

  • mappatura dei trattamenti e successiva redazione del registro dei trattamenti;
  • applicazione dei principi di protezione dei dati personali secondo i principi di privacy by design e privacy by default;
  • verifica di documentazione che va dal modello organizzativo alle informative, ai consensi, revoche minori, LIA, contesto in cui opera l’organizzazione;
  • gestione dei diritti degli interessati, quindi creazione delle procedure e tenuta del registro delle richieste di esercizio dei diritti, formazione interna e adozione di misure tecnico-organizzative;
  • eventuale nomina del DPO (Data Protection Officer) perché l’utilizzo di tecnologie ad ampio monitoraggio tipiche dell’MSP impone una valutazione molto attenta mirata ad evitare sanzioni e quindi l’esistenza di un addetto alla gestione privacy;
  • analisi e gestione del rischio, con mappatura dell’organizzazione (contesto in cui opera, organigramma, mappatura asset dell’organizzazione e attribuzione valori RID, mappatura personalizzata dei rischi secondo un metodo che individui i rischi e calcoli anche la loro pericolosità per l’organizzazione, trattamento del rischio con misure di contrasto del rischio e valutazione del “rischio residuo” con menzione nel DPA per sollevare il più possibile l’MSP dai problemi connessi;
  • gestione soggetti autorizzati al trattamento, formazione, impegno alla riservatezza;
  • affidabilità e compliance GDPR dei Responsabili del trattamento, nonché la nomina ex. articolo 28 con tutte le implicazioni che questo comporta;
  • implementazione della Gestione Data Breach (art. da 32 a 36) e l’assistenza sulla DPIA (art. da 32 a 36) con relative procedure, formazione, creazione del comitato e tenuta del registro; per un MSP significa fare una doppia gestione, ossia quella della propria organizzazione e quelle delle aziende clienti;
  • gestione del trasferimento dei dati personali all’estero, per ché bisogna valutare se esistono i presupposti per il trasferimento dei dati all'estero. Ovvero se l’MSP si appoggia a Cloud i cui Data Center si trovano in nazioni che aderiscono o meno sl GDPR.

Per quanto riguarda la gestione delle Data Breach, situazione che ha degli aspetti tecnici ma anche aspetti giuridici molto rilevanti, l’MSP deve essere pronto a supportare il cliente nel momento in cui si verifichi un incidente.

Gli adempimenti che deve fare un MSP possono diventare complessi, considerata la pluralità dei clienti e il tipo di attività esercitata.

Quelli elencati sono, alla fine, gli adempimenti che l’MSP deve svolgere per allinearsi alle necessità del cliente titolare del trattamento, tant’è che poi magari il cliente ha la facoltà di fare ispezioni per accertare la compliance del fornitore; il cliente lo fa nelle vesti del consulente privacy o responsabile privacy interno, nei limiti stabiliti a livello contrattuale.

Documenti richiesti durante un'ispezione della Guardia di Finanza

In caso di ispezione da parte del Nucleo Speciale Tutela Privacy della Guardia di Finanza vengono richieste documentazioni che permettono di ferificare la gestione della privacy ed eventuali inadempienze. Vediamo la lista dei documenti e delle informazioni che possono essere richieste durante un’ispezione (immagine seguente) e alle quali il titolare o il responsabile del trattamento deve fornire risposte esibendo, eventualmente, la documentazione corelata.

Questa è una lista lunga che può essere affrontata dividendola per contesti, ossia la possiamo dividere in cinque punti principali che riguardano altrettante aree tematiche.

I primi tre punti riguardano la struttura e il contesto dell’organizzazione, la mappatura dei trattamenti di dati che coinvolgono l’azienda (per esempio dove avviene il trattamento, se in una o più sedi, se in Italia o appoggiandosi esclusivamente o complentariamente a server localizzati all’estero) nonché la gestione dei diritti degli interessati, comprendendo in questo contesto anche le procedure messe in atto per l’informativa e l’acquisizione dei consensi (immagine seguente) da parte degli interessati.

Il quarto punto riguarda la gestione del rischio e quindi l’analisi dei rischi che incombono sul trattamento dei dati e le contromisure previste, le procedure per assicurare la riservatezza, nonché gli strumenti messi in campo, prevedendo anche di poter fornire risposte e motivazioni nel caso certe azioni non siano state poste in essere.

Il quinto è la gestone delle Data Breach, comprendente le procedure adottate, il registro dove vengono annotati gli eventi e via di seguito. 

In questo ambito rientrano le contromisure previste, la valutazione del rischio residuo (ossia quello che comunque rimane anche adottando tutte le cautele, come ad esempio un cyber-attacco zero-day e quindi ignoto ai sistemi di sicurezza IT) la formazione dei dipendenti, la verifica della capacità effettiva dell’organizzazione di garantire la tutela del dato e della resilienza del sistema adottato, nonché le procedure di assesment (identificazione e classificazione) delle vulnerabilità.

Se avviene un’ispezione della Guardia di Finanza bisogna collaborare e annotarsi cosa viene ispezionato, quindi chiedere che sia verbalizzato cosa è stato richiesto e quali risposte sono state date, in modo che agli atti ci sia anche la versione dei fatti del soggetto ispezionato.

Se il nucleo ispettivo vuole prelevare documentazione originale bisogna opporsi (la Legge ne dà la facoltà) e dare sempre copia previa cancellazione delle informazioni riservate ivi contenute.

Infine farsi sempre rilasciare una copia del verbale redatto dalla Guardia di Finanza, utile in caso di contestazione. 

Durante un’ispezione la Guardia di Finanza espone la lista degli adempimenti e domanda perché certi adempimenti sono stati fatti in una certa maniera e rleva eventuali omissioni; il titolare del trattamento deve rispondere fornendo documentazione idonea a fornire spiegazioni.

In quest’ottica è bene notare che la Guardia di Finanza è ben predisposta verso l’operatore che sa motivare le proprie decisioni tecnico-organizzative e si dimostra cosciente della propria responsabilità, tant’è che in caso di omissioni avvenute in buona fede, spesso il Garante non emette sanzioni ma raccomandazioni, oppure, ammonizioni.

A fronte dell’ispezione viene redatto un verbale che descrive com’è avvenuta l’ispezione e gli eventuali inadempimenti rilevati; in questa fase, il titolare del trattamento ha la possibilità di inserire proprie annotazioni. Il verbale viene poi notificato al Garante il quale, in assenza di omissioni, archivia il caso.

Se invece i funzionari del Garante decidono di avviare un procedimento fanno una contestazione specifica all’azienda ispezionata, la quale ha la possibilità di presentare delle osservazioni e può nascere anche la possibilità di chiedere un’audizione da parte del Garante per spiegare le proprie ragioni. Dopodiché il dipartimento di competenza fa una proposta di provvedimento che va decisa dal collegio dei componenti del Garante e se verrà emesso un provvedimento il destinatario potrà pagarlo con uno sconto del 50% entro 30 giorni, ovvero impugnarlo di fronte a un Giudice ordinario entro 30 giorni o 60 se l’azienda risiede all’estero. La decisione è ricorribile in Cassazione.

MSP e formazione su privacy e GDPR

Proprio per il suo coinvolgimento nella gestione privacy, anche e soprattutto sotto l’aspetto legale,  oggi chi svolge l’attività MSP può e deve formarsi sulla materia ed anche dotarsi di soluzioni in grado di fare delle analisi e gestire il trattamento, pur senza andare nella complessa materia della certificazione ISO 27001. Sotto questo aspetto, l’aver frequentato un corso ed aver ottenuto un attestato da un esperto può essere un buon modo per iniziare e sicuramente qualifica agli occhi della clientela. A riguardo, Coretech mette a disposizione una serie di corsi sui vari aspetti della tutela privacy e gestione Data Breach tenuto dall’Avvocato Gianluca Dalla Riva, esperto di privacy e GDPR.

La relativa offerta formativa è consultabile alla pagina web https://www.coretech.it/it/service/event/Corso-Gestione-Rischio-e-Data-Breach.php.

Banner

Conoscere e gestire in maniera ottimale privacy e GDPR consente all’operatore IT sia di lavorare meglio coi propri clienti, sia di evitare sanzioni correlate a inadempienza propria o della clientela.

Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft