Con il GDPR abbiamo compreso che si è definitivamente creato uno spartiacque da un modo di intendere la data protection a “misura di Paese”, al di là delle specificità locali che ogni singolo Stato continua a mantenere. Si è così creata una certa uniformità normativa che consente alle imprese (e alle PA) di poter affrontare la “compliance” uniformemente in tutta UE.
Ma di quale “compliance” parliamo quando prendiamo in considerazione il GDPR?
Le novità del Gdpr
Il GDPR, a ben vedere, è stato percepito non solo come la naturale evoluzione della Direttiva Madre del 1995, ma anche come una sua innovazione.
A differenza infatti della previgente disciplina, il Regolamento 2016/679 si focalizza anche sulle misure di sicurezza che devono essere poste in essere per garantire una tutela efficace dei dati personali. Previsioni quali quella ex art. 32 (Sicurezza del trattamento) o ex art. 35 (Valutazione d’impatto sulla protezione dei dati), o ancora la centralità data alla figura del data protection officer, sono novità che evidenziano l’intenzione del legislatore europeo di assicurare la tutela degli interessati anche attraverso gli obblighi di implementazione da parte dei titolari di adeguate misure di sicurezza del trattamento.
Nella maggior parte dei casi non si tratta di standard predisposti dalla legge, ma di valutazioni effettuate in un’ottica di accountability e valutazione dei rischi dai soggetti stessi sottoposti alla disciplina e sulla base dei principi posti a fondamento di questa.
Tutte le normative sulla sicurezza dei dati
Questo disegno non è proprio solo del GDPR, ma si ripresenta in maniera analoga anche nelle altre normative riconducibili alla strategia europea del Digital Single Market di cui sopra, tra le quali, la Direttiva 2016/680 (cd. Direttiva Polizia), la Direttiva NIS, il Regolamento eIDAS e la Direttiva PSD2. Il quadro si completa poi con due norme recentissime, i Regolamento sui Dati Non Personali (cd. “Free Flow Data”), volto alla rimozione degli impedimenti alla circolazione dei dati non personali, e il Cybersecurity Act, che rafforza la posizione dell’ENISA e introduce un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali.
Analizzandone i contenuti, emerge come non solo le previsioni relative all’information security siano affini, ma in determinati casi il legislatore abbia scelto di utilizzare esattamente gli stessi termini, uniformando in parte la disciplina di settori diversi.
Se il GDPR stabilisce che debbano essere attuate misure tecniche e organizzative adeguate a garantire un livello di sicurezza congruo rispetto ai rischi correlati al trattamento dei dati personali, lo stesso prevedono la direttiva Police (riferita ai dati personali trattati da parte delle autorità competenti a fini di “polizia”), la direttiva NIS (in merito alla sicurezza della rete e dei sistemi informativi), l’eIDAS (riguardante i servizi fiduciari) e la PSD2 (prestatori di servizi di pagamento).
Da questa premessa, ci si interroga sull’opportunità – per i soggetti che debbano adeguarsi a più normative tra quelle sopra citate – di predisporre dei modelli che integrino gli elementi ulteriori e differenziali per garantire allo stesso tempo la compliance a tutte le normative che devono essere osservate.
Si considera infatti che, prevedendo un adeguamento unico, l’effort complessivo potrebbe essere notevolmente ridotto evitando di ripetere valutazioni già compiute in riferimento agli obblighi normativi già adempiuti.
Inoltre, anche la gestione degli incidenti presenta molti parallelismi tra le normative in analisi: nei casi in cui la notifica della violazione debba essere fatta a due o più diverse Autorità, la disponibilità di un modello generale che contenga gli elementi comuni potrebbe essere utile, soprattutto in considerazione degli stretti tempi massimi per la comunicazione dei suddetti incidenti alle Autorità di riferimento.
Le peculiarità del Gdpr rispetto alle altre normative
Tuttavia, bisogna anche prendere in considerazione l’evidente differenza che sussiste concretamente tra il GDPR e tutte le altre norme succitate.
Con il GDPR si sancisce infatti per la prima volta l’«obbligo» generalizzato a (praticamente) tutte le aziende di valutare una particolare tipologia di rischio: quello «degli altri» (i.e. «diritti e libertà degli interessati»). In tutte le altre norme citate in precedenza, invece, il rischio di cui si tratta non riguarda gli interessati (dipendenti, clienti o fornitori che siano rispetto al titolare) bensì i rischi operativi.
Si può però definire una metodologia e attuare un’analisi che, seppur con uno sforzo che richiede una competenza elevata, capitalizzi rispetto a tutti gli obiettivi (normativi) comuni. Essendo l’attività di analisi del rischio onerosa, in definitiva non risulta indifferente il vantaggio derivante dalla possibilità di riutilizzare gran parte del lavoro. Infatti, nella procedura di valutazione del rischio, elementi quali l’identificazione dei servizi IT e degli asset impattati richiedono uno sforzo inversamente proporzionale al numero delle tipologie di rischio prese in considerazione.
La crescente pressione degli attacchi di sicurezza, inoltre, richiede approcci moderni nella scelta di cosa difendere.
La scelta delle misure da attuare
È quindi importante stabilire le relazioni tra i diversi tipi di rischio, sia in fase di analisi, sia di gestione degli stessi. Per quanto riguarda la fase di analisi di minacce e vulnerabilità, per esempio, la valutazione di probabilità è praticamente sempre riutilizzabile, influenzata al più (e non sempre in modo significativo) dall’«appetibilità» del soggetto.
Nei rapporti cliente-fornitore la definizione di probabilità e/o impatti, intesi come scale di valutazione dei rischi, può facilitare la gestione coordinata di questi. È naturalmente necessario optare per un’uniformità nella definizione degli scenari e del tipo di eventi la cui probabilità deve essere valutata (es: data breach vs. infezione da malware). In ogni caso, si può dire che risulta più semplice quantificare e riutilizzare la probabilità come «che si verifichi il danno» anziché «che si verifichi la minaccia».
In fase invece di gestione del rischio, la scelta delle misure da attuare può basarsi su più prospettive che devono essere bilanciate (o «controbilanciate»). La soluzione ideale in questo caso è – anziché trovare molte diverse soluzioni per mitigare rispettivamente molti diversi rischi – quella di individuare la soluzione che offre il risultato ottimale nella prospettiva dell’azienda (i.e. costi, competenza, manutenzione nel tempo…).
La convergenza delle responsabilità nella gestione di diversi rischi può costituire così anche un’opportunità per avere, al contempo una maggiore competenza, capacità decisionale e di assunzione del rischio, nonché coordinamento nella gestione integrata dei rischi, efficienza nell’analisi, chiarezza degli obiettivi.
