Skip to content

Misure di sicurezza: come valutare, quantificare e mitigare il rischio di utilizzo di un fornitore.

Al fine di valutare, quantificare e mitigare il rischio di utilizzo di un fornitore in una o più operazioni di trattamento, l’organizzazione che ricopre il ruolo di titolare del trattamento deve impostare una strategia di gestione dei soggetti terzi esterni all’azienda (fornitori e responsabili). Ecco le best practice.

Sono sempre di più le organizzazioni che subiscono incidenti di sicurezza e violazioni di dati personali a causa di attacchi ai loro fornitori. Gli attaccanti, prendendo di mira un anello della catena di fornitura, possono raggiungere anche i clienti del target causando all’organizzazione ingenti danni reputazionali e perdite economiche- finanziarie. L’organizzazione colpita potrebbe subire anche sanzioni, per esempio da parte dell’Autorità Garante per la protezione dei dati personali per mancata adozione di misure di sicurezza adeguate o verifica dei requisiti di idoneità del proprio fornitore.

Al fine di valutare, quantificare e mitigare il rischio di utilizzo di un fornitore in una o più operazioni di trattamento, l’organizzazione che ricopre il ruolo di Titolare deve impostare una strategia di gestione dei soggetti terzi esterni all’azienda (“Fornitori”, “Responsabili”).

Fondamentale per l’efficacia di tale strategia è che essa definisca da una parte i criteri di valutazione ex ante dei fornitori, dall’altra preveda modelli di contratto comprensivi di Annex tecnici (istruzioni operative per individuare gli adempimenti in materia di protezione dei dati personali) e processi periodici di controllo dei fornitori, i c.d. Audit.

La scelta dei fornitori in un’ottica “risk-based”

La scelta di esternalizzare servizi come la conservazione, la trasmissione o elaborazione di dati su sistemi eterogenei e spesso distribuiti può impattare significativamente sulle valutazioni di rischio che il Titolare del trattamento è tenuto a svolgere per ottemperare, in particolare, a quanto richiesto dall’art. 32 del GDPR: infatti, le minacce correlate al contesto complessivo del trattamento cosi come la modalità e la probabilità di concretizzarsi delle stesse potrebbero aumentare o diminuire alla luce del coinvolgimento di terze parti.

I vantaggi e i rischi correlati all’attività di esternalizzazione devono quindi essere presi in considerazione al fine di valutare se i fornitori offrono garanzie sufficienti a mitigare i rischi per i diritti e le libertà degli interessati o se, al contrario, potrebbero introdurne di ulteriori difficilmente mitigabili se non interrompendo il contratto di fornitura.

In quest’ottica, il Titolare non può ricorrere ad un Responsabile qualsiasi ma solamente a Responsabili che presentino «garanzie sufficienti» a soddisfare i requisiti del GDPR tutelando, in particolare, i diritti degli interessati (art. 28.1).

Tenuto conto della sensibilità, del volume e del valore di tutti i sistemi coinvolti nei servizi, processi o attività esternalizzate, la scelta deve quindi ricadere su un soggetto che – in termini di conoscenza specialistica, affidabilità e risorse – garantisca la messa in atto misure di sicurezza tecniche ed organizzative adeguate ai rischi derivanti dall’accordo stesso e dalla tipologia di dati trattati. In caso contrario, il Titolare potrebbe essere chiamato a rispondere per «culpa in eligendo».

I requisiti di sicurezza da richiedere ai fornitori

I fattori da considerare nell’individuazione delle misure tecniche e organizzative da richiedere al fornitore per attenuare i rischi ad un livello accettabile sono molteplici: costi di implementazione delle misure di sicurezza, natura delle minacce, probabilità di accadimento, requisiti di riservatezza, integrità disponibilità ed autenticità dei dati e via dicendo.

Si precisa che, secondo le Linee guida del WP29 in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679: “un rischio residuo elevato inaccettabile include casi in cui gli interessati possano subire conseguenze significative, o addirittura irreversibili, che non possono superare (ad esempio: accesso illegittimo a dati che comportano una minaccia per la vita degli interessati, un loro licenziamento, un rischio finanziario) e/o quando appare evidente che il rischio si verificherà (ad esempio: poiché non si è in grado di ridurre il numero di persone che accedono ai dati a causa delle loro modalità di condivisione, utilizzo o distribuzione o quando non si può porre rimedio a una vulnerabilità ben nota)”.

La scelta delle misure di sicurezza dovrebbe basarsi su standard e best practice di settore applicabili al contesto di fornitura. I requisiti di sicurezza devono essere:

  • chiari, precisi, azionabili e misurabili;
  • coerenti con il mercato ovvero sostenibili e che permettano di mantenere sotto controllo l’evoluzione delle minacce seguendo, anche lo sviluppo delle tecnologie di protezione;
  • integrati con i requisiti di sicurezza di business o requisiti di sicurezza di altre normative vigenti;
  • coerenti con servizi aventi rischi analoghi.

Il ricorso, da parte del Responsabile, a codici di condotta o meccanismi di certificazione o omologazione rilasciate da appositi organismi qualificati e indipendenti può essere visto come indice di garanzia ed affidabilità.

Ulteriori elementi di garanzia e affidabilità sono la proattività del Responsabile nella valutazione delle istruzioni ricevute dal Titolare così come l’eventuale segnalazione al Titolare di istruzioni che a suo parere, violino il GDPR o altre disposizioni, nazionali o comunitarie relative alla protezione dei dati.

Occorre quindi che tra Titolare e Responsabile si instauri un circolo virtuoso. Entrambi dovrebbero  perseguire  gli  stessi  obiettivi  di  sicurezza  attraverso  la  definizione,

l’implementazione e l’aggiornamento periodico del processo di gestione della sicurezza delle informazioni.

Un approccio comune alla sicurezza è fondamentale per garantire, nel tempo, gli obiettivi di disponibilità delle informazioni e dei servizi, l’appropriato livello di confidenzialità delle informazioni assicurando anche l’autenticità e l’integrità dei dati, delle transazioni, delle comunicazioni.

Il Titolare deve, inoltre, mantenere una rappresentazione dei servizi, delle applicazioni e delle infrastrutture utilizzate a supporto delle attività di trattamento comprese quelle affidate a terze parti.

Tale rappresentazione, se affiancata ad un efficace processo di Asset Management, favorisce il rispetto dei principi di security e privacy by design/by default nell’ambito di processi quali sviluppo sicuro del software, gestione dei cambiamenti, hardening fino alla gestione delle identità e della tracciabilità delle operazioni.

In particolare, un processo di tracciabilità delle informazioni che veda coinvolti l’impresa e i suoi fornitori è fondamentale per identificare e prevenire comportamenti abusivi o illegittimi compiuti non solo da utenti esterni all’azienda ma anche da dipendenti, collaborati e fornitori aventi accesso ai sistemi informatici messi a disposizione dall’azienda.

Le verifiche di adeguatezza dei fornitori

Le responsabilità del Titolare non si esauriscono nella scelta di fornitori adeguati. Il Titolare è tenuto a verificare nel tempo l’effettivo soddisfacimento delle garanzie di sicurezza previste contrattualmente. A seguito di esplicita richiesta formulata al Responsabile, il Titolare deve avere la possibilità di ottenere evidenza delle misure di sicurezza adottate dal Responsabile e da eventuali Sub-responsabili.

Sebbene al Responsabile del trattamento possa essere attribuito un certo margine di autonomia (e correlativa responsabilità) nella individuazione dei sistemi e delle misure idonee a garantire la sicurezza dei dati gestiti nei propri archivi, è opportuno che queste siano conosciute e approvate dal Titolare.

Per avere evidenza del livello complessivo di adeguatezza e conformità con la normativa vigente, oltre alla richiesta di esibizione della nomina conferita dal Responsabile ai Sub-responsabili del Trattamento, si ritiene opportuno che il Titolare verifichi, con il supporto di esperti con competenze legali che di sicurezza delle informazioni:

  • la presenza di un processo di gestione della sicurezza delle informazioni integrato con gli aspetti di data protection previsti dalle normative vigenti;
  • la definizione di ruoli e responsabilità in ambito data protection;
  • il rispetto dei requisiti di sicurezza definiti contrattualmente e/o dell’eventuale piano di mitigazione concordato tra le parti, in particolare in          merito alla qualità dei dati, alla minimizzazione, cifratura e anonimizzazione dei dati personali;
  • le modalità di gestione degli adempimenti richiesti dalla normativa in particolare per quanto concerne la gestione delle richieste degli interessati e la gestione violazioni di dati personali;
  • l’adozione di un processo che permetta l’avviso tempestivo di qualsiasi anomalia, vulnerabilità, sospetto incidente o incidente e più in generale non conformità rilevate durante le attività di controllo e monitoraggio;
  • l’adozione di un processo di governance dei sub-responsabili, al fine di verificare che anch’essi rispettino le stesse misure di sicurezza o misure equivalenti a quelle applicate al fornitore.

L’attività di verifica può anche essere eseguita da una terza parte in accordo con il Titolare.

La documentazione prodotta deve essere archiviata dal Titolare insieme a tutta la documentazione contrattuale. Una mancata attività di verifica, in caso di inadempimenti da parte del Responsabile, potrebbe comportare una “culpa in vigilando” in capo al Titolare, il quale è tenuto pertanto a verificare se i suoi Fornitori agiscono in modo difforme o contrario rispetto alle legittime istruzioni impartite.

Documentazione allegata

Condividi:

Facebook
Twitter
Pinterest
LinkedIn

Comments are closed for this article!

Dal Blog

Articoli Correlati

Il Referente interno

Mansioni riservate alla persona di riferimento e collegamento, tra il Responsabile della Protezione Dati ed il Titolare. Al Referente Privacy sono attribuite almeno le seguenti

Nominare un DPO, 15 buoni motivi.

Il nuovo Regolamento Europeo introduce la figura del Responsabile della Protezione dei Dati, il DPO, sapere perchè e quando nominarlo è importante. Ecco dei buoni

Glossario GDPR

Quando si parla del nuovo Regolamento UE 2016/679 o GDPR (General Data Protection Regulation) si fa riferimento a tutta una serie di nuove definizioni, che

Questo sito utilizza solo ed esclusivamente cookie tecnici per garantirvi una migliore navigazione.