GDPR: un’opportunità in tema di cyber security delle imprese

* * *

Con l’entrata in vigore del “Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” n. 2016/679 (il c.d. “GDPR”), i timori dei più cadono sulla sua diretta applicazione a far data dal prossimo 25 maggio 2018 e sulle poderose sanzioni previste all’art. 83 in caso di mancato adeguamento dell’apparato di tutela della privacy.

Questa impostazione è forse troppo riduttiva ed in buona parte miope.

Il dato di fondo che sfugge a questo approccio è che il GDPR rappresenta un’opportunità: è un concreto insieme di misure atte a contenere il cyber risk. L’attuazione dell’impianto di norme del GDPR può rappresentare, infatti, un “viatico” affinché il singolo operatore costruisca, o rafforzi, i propri presidi in tema di cyber security.

Quella di un attacco informatico su larga scala è ormai notizia quotidiana; il cyber risk – stando alla classifica stilata dal World Economic Forum – è ritenuto secondo solo al rischio climatico.

Vi è tuttavia meno consapevolezza (e da qui forse il frettoloso approccio di cui in premessa) rispetto:

1. All’effettivo livello di esposizione a questo rischio (sottostimato);
2. Alle responsabilità che un attacco cyber comporta in capo all’operatore economico. Una violazione che intacchi anche i dati personali è valutata negli ambiti della responsabilità semi-oggettiva ed opera anche a prescindere dalla colpa lieve del singolo titolare del trattamento;
3. Alle conseguenze in termini di danni economici, quali ad esempio la responsabilità verso terzi, nonché quelli da business interruption.

È in questa realtà che il GDPR deve essere contestualizzato: dare esecuzione alle sue disposizioni non solo è obbligatorio, ma è l’opportunità alla quale sopra abbiamo accennato.

Il punto chiave per cogliere la dirompenza di questa occasione risiede nel principio di responsabilizzazione (c.d. accountability) che governa l’impianto del GDPR. Titolare e responsabile del trattamento devono adottare comportamenti proattivi, decidendo le modalità di conservazione, le garanzie ed i limiti del trattamento. Questo principio si attua poi attraverso tre concorrenti criteri.

• Il primo è quello c.d. “data protection by design”. Preliminarmente all’inizio del trattamento è fatto obbligo al titolare di configurare le garanzie indispensabili per tutelare i diritti degli interessati, avendo presente il contesto nel quale il trattamento si colloca; la progettazione preliminare deve contemplare misure specifiche e soprattutto dimostrabili.
• Il secondo criterio è definito (cfr. consideranda 75-79) “rischio inerente il trattamento”: sempre prima del trattamento, deve essere quantificato il rischio di impatti negativi sui dati, tenendo conto:
  1. Della tipologia dei dati trattati;
  2. Dei rischi noti o evidenziabili;
  3. Delle misure tecniche ed organizzative.
• In via concorrente a questi criteri, deve poi trovare applicazione quello della c.d. “data protection by default”: il trattamento dati deve essere progettato prevedendo la minimizzazione (non eccessività) dei dati da raccogliere, confinando la loro raccolta a precise finalità e la loro conservazione al solo lasso temporale necessario al loro trattamento.

L’operativa interazione di questi tre criteri si sostanzia poi nell’adozione di specifici strumenti operativi, tra i quali sono individuati come imprescindibili:

• La valutazione di impatto del trattamento (la c.d. “D.P.I.A.”): si tratta del documento ricognitivo della valutazione del rischio ed è predisposto alla luce della tipologia di assetto aziendale e dati trattati (questo strumento sostituisce quello della “notifica preliminare” ex art. 17 Codice Privacy). L’adozione della D.P.I.A. è obbligatoria nella misura in cui il trattamento
  1. presenti un elevato rischio per i diritti delle persone;
  2. comporti attività di profilazione;
  3. abbia ad oggetto dati sensibili e giudiziari;
  4. si sostanzi in attività sistematiche di videosorveglianza.
• Queste condizioni sono state recentemente oggetto di ulteriore approfondimento da parte dei Garanti UE, al lavoro per assicurare un'interpretazione uniforme circa l’obbligatorietà della D.P.I.A.;
• Il registro dei trattamenti: deve essere predisposto e mantenuto aggiornato un documento ricognitivo delle operazioni di trattamento, nel quale siano riportati una serie di dati puntualmente enumerati all’art. 30 del GDPR. Il registro deve consentire al titolare di provare la conformità della propria organizzazione alle prescrizioni di legge. Analogamente alla D.P.I.A., il registro è obbligatorio solo in alcuni specifici casi – nonostante il Garante Privacy ne abbia già “caldeggiato” la tenuta generalizzata – quali il superamento del limite di 250 dipendenti e la possibilità che il trattamento presenti particolari rischiosità;
• Le “misure di sicurezza del trattamento”: devono essere adottate misure adeguate rispetto allo stato dell’arte ed ai costi di attuazione, alla natura, applicazione e finalità del trattamento, nonché all’esposizione al rischio. Le misure devono consentire di fronteggiare questo rischio. Il GDPR poi dettaglia (v. art. 32) specifici obbiettivi che le misure di sicurezza devono consentire di raggiungere quali quello dell’accesso tempestivo ai dati in caso di un evento dannoso, ovvero la predisposizione di processi di verifica periodica della loro efficacia e del loro effettivo funzionamento.

Da questa veloce e sintetica illustrazione dei punti chiave del GDPR dovrebbe, quindi, essere evidente che proprio nell’attuazione concreta dei suoi obblighi il GDPR contribuisce a far sì che l’operatore economico chiamato ad attuarlo, realizzi vere e proprie infrastrutture giuridiche ed informatiche che consentono di fungere, non solo quali mere modalità di protezione del dato, ma anche quali vere e proprie barriere protettive del cyber risk.

Questo esercizio riesce ed è efficacie nella misura in cui l’attuazione dell’impianto delle norme sulla privacy sia frutto di un’oculata analisi e progettazione ed al contempo le misure di protezione della rete informatica aziendale, siano individuate con modalità “sartoriali” dal singolo imprenditore, affiancato dai suoi consulenti giuridici ed informatici.