La pianificazione di un audit privacy con approfondimenti tecnici nasce dall’esigenza del titolare del trattamento di documentare e poter dimostrare anche di aver messo in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia stato effettuato in conformità al Reg. U.E. 679/2016 meglio conosciuto come GDPR (General Data Protection Regulation) e provvedimenti legislativi correlati[1].
Per questo motivo, il titolare del trattamento deve progettare periodici controlli interni per verificare lo stato di compliance al fine di prevenire criticità al sistema informatico aziendale.
In tal senso, già il considerando al GDPR n° 74 precisa che il titolare del trattamento dovrebbe mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il Regolamento UE, ivi compresa l’efficacia delle misure – efficacia che non può essere verificata se non attraverso l’effettuazione di test e rilievi di natura tecnica.
Indice degli argomenti
Approfondimenti tecnici negli audit privacy: a cosa servono
Molti, infatti, conoscono il significato del termine audit, cioè quella valutazione che consente di determinare il rischio a cui è esposta un’organizzazione, ma la programmazione di un audit dei sistemi informatici non può essere affidata esclusivamente alla compilazione di checklist o a interviste alla direzione o al reparto IT e la verifica di eventuali non conformità deve essere anche stabilita con mezzi idonei peraltro documentabili.
Questo è anche il sunto della nuova UNI EN ISO 19011:2018 che definisce le “Linee guida per gli audit dei sistemi di gestione”[2].
Infatti, nella revisione del 2018 della norma cambiano alcune impostazioni di fondo, tra cui:
- il raggiungimento degli obiettivi stabiliti – intesi come efficacia – è molto più importante della documentazione e della conformità;
- anche l’audit deve spostare di conseguenza il proprio interesse ad un approccio di tipo “prestazionale”, orientato al conseguimento dei risultati, con una maggior attenzione al sistema complessivo, agli obiettivi ed al loro raggiungimento, ed in definitiva alla verifica delle performance del sistema;
- è quindi compito dell’auditor evidenziare l’eventuale insufficienza dei requisiti, indipendentemente dalle informazioni documentate e/o documentabili;
- con conseguenza di una maggior competenza in capo auditor nel delineare il quadro di compliance dell’organizzazione.
Il riscontro tecnologico dovrebbe essere quindi orientato ad una verifica formale e sostanziale – anche amanuense quindi – dell’adeguatezza delle misure tecniche ed organizzative del sistema di gestione come peraltro indicato in vari articoli del Regolamento Europeo (tra cui si ricordano gli artt. 5, 24, 25 e 32).
La struttura di un’attività di audit di tipo tecnico
Nello stilare una scaletta tipo di un’attività audit di tipo tecnico, potrebbe rivelarsi utile ad esempio:
- l’analizzare le policy aziendali, i regolamenti interni sull’uso dei dispositivi info telematici e di altra documentazione inerente le misure di sicurezza tecniche adottate e verificare, magari, che effettivamente che non vi sia un uso inappropriato (se non diversamente autorizzato) di apparati aziendali o collegamenti di dispositivi “sconosciuti” alla rete informatica aziendale;
- un riscontro dell’inventario informatico (ricavabile anche attraverso semplici strumenti software di network mapping) e la simmetria con la documentazione in possesso all’organizzazione, riscontro valido anche per la dismissione di apparati obsoleti ed il conseguente adempimento di cancellazione sicura dei supporti di memoria contenenti dati personali;
- una verifica della corrispondenza delle autorizzazioni alle risorse del Sistema Informativo Aziendale utile per appurare, ad esempio, la sopravvivenza di account in uso a persone non più attive nell’organizzazione o destinate ad altri incarichi;
- il controllo delle patch di sicurezza e degli aggiornamenti hardware e software degli host anche per verificare l’effettivo shut down degli “unnecessary services” in quanto l’azienda dovrebbe prevedere la chiusura di tutti i servizi, protocolli e le porte che non sono richieste per l’attività lavorativa.
- la verifica dei backup e della conformità del recovery mediante la verifica dell’efficienza della catena di backup – compresi i soggetti che la gestiscono – ed effettive operazioni di restore rese a campione.
Si tratta ovviamente di esempi non esaustivi e sicuramente adattabili e/o implementabili anche a seconda dell’ambiente oggetto di audit e dalle specificità riscontrate nell’azienda/organizzazione oggetto di verifica.
Nel senso stretto del termine, non parliamo in questa fase né di “Vulnerabilty Assestment”, inteso come una sorta di Total Scanning che mira a far emergere tutte le possibili vulnerabilità dell’infrastruttura e della rete IT (e quindi anche di quelle non inferenti la trattazione di dati personali) né tantomeno di “Penetration Test”, valutabile come una dimostrazione pratica dell’esistenza e delle conseguenze di una particolare vulnerabilità riscontrabile nel sistema informativo aziendale.
Utili spunti possono essere ovviamente attinti anche dalle best practice, dall’utilizzo delle normative ISO quali, oltre alla citata ISO 19011:2018, quelle relative alla famiglia ISO 27000 (anche nota, in Italia, come famiglia di norme SGSI, “Sistemi di Gestione per la Sicurezza delle Informazioni”) che raggruppa un insieme di norme che hanno lo scopo di proteggere le informazioni che vengono mantenute ed elaborate da un’organizzazione.
Approfondimenti tecnici negli audit privacy:considerazioni
A parere dello scrivente, al fine di verificare realmente lo stato di salute e di resilienza dei sistemi di gestione che impattano sui dati personali, occorre procedere realisticamente ad un controllo effettivo delle misure adottate dall’organizzazione non basandosi esclusivamente nella compilazione di generici questionari ma effettuando anche riscontri tecnici allegabili al report di audit.
Tale procedura può risultare anche utile non solo per la comprensione e la valutazione dei cosiddetti “piani di miglioramento” da parte del titolare del trattamento ma anche per dimostrare all’autorità di controllo che le misure sono state riesaminate e aggiornate – qualora necessario – come precisato ai sensi del 1° comma dell’art 24 Regolamento UE 679/2016 recante le “Responsabilità del titolare del trattamento”.
NOTE
- D.lgs. 30 giugno 2003, n.196 recante il “Codice in materia di protezione dei dati personali” (in S.O n. 123 alla G.U. 29 luglio 2003, n. 174) integrato con le modifiche introdotte dal D.lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” (in G.U. 4 settembre 2018 n.205). ↑
- Norma UNI EN ISO 19011:2018 “Linee guida per audit di sistemi di gestione”. ↑
