Un’organizzazione deve prima selezionare e poi gestire correttamente i fornitori. Prima della selezione è necessario condurre una valutazione del rischio, anche considerando quanto richiesto dal GDPR e dal principio di privacy by design.
Vediamo quindi come trattare questo aspetto, presentando anche alcune pratiche scorrette.
Indice degli argomenti
Valutare il rischio dei fornitori
Prima di ricorrere ad un fornitore, un’organizzazione dovrebbe valutare il rischio relativo a più aspetti:
- qualità della fornitura di servizi o prodotti;
- sicurezza delle informazioni e protezione dei dati personali;
- disponibilità, continuità e capacità.
È compito del cliente (o, in termini di GDPR, del titolare del trattamento) valutare attentamente il rischio e stabilire quali misure di controllo adottare.
Per quanto riguarda la qualità, le misure possono includere rapporti di verifica dei servizi e prodotti, o la partecipazione diretta alle verifiche dei servizi e prodotti prima della consegna.
Il cliente può anche richiedere ulteriori garanzie in merito alla formazione del personale:
- il numero e l’estensione delle verifiche;
- l’uso di specifici strumenti per la realizzazione dei servizi e dei prodotti o per condurre le verifiche (per esempio: strumenti tarati);
- la messa a disposizione di rapporti periodici in merito alle prestazioni.
Per quanto riguarda la sicurezza delle informazioni e protezione dei dati personali, le misure riguardano:
- la sicurezza fisica;
- il controllo degli accessi;
- la presenza di specifiche misure di sicurezza nei prodotti e sistemi utilizzati (o messi a disposizione del fornitore) e forniti;
- la conduzione di vulnerability assessment (VA) periodici, incluse le code review;
- la condivisione dei rapporti di VA e dei piani di rientro.
Per quanto riguarda la disponibilità, continuità e capacità, le misure includono:
- verifiche periodiche del carico di lavoro;
- la scelta di precise strategie di continuità presso il cliente (che quindi deve prevedere l’uso di fornitori alternativi) o presso il fornitore;
- la previsione di procedure per il passaggio di consegne.
Prima della selezione, per i casi più critici, è quindi possibile prevedere degli audit presso il potenziale fornitore al fine di verificare la reale attuazione delle misure indicate.
Se l’organizzazione non ha le competenze necessarie per indicare le misure da prevedere, può sempre valutare il rischio e poi chiedere ai fornitori di presentare progetti di fornitura appropriati al livello di rischio identificato o chiedere consulenza specialistica a terze parti.
Alla luce di quanto qui accennato, e ricordando che si tratta di un elenco non esaustivo, è possibile trarre una prima conclusione: è sempre compito del cliente stabilire, prima della selezione di un fornitore, quali debbano essere le misure di qualità, sicurezza e continuità che il fornitore deve soddisfare.
Un metodo semplice per la protezione dei dati personali
Quando si vuole ricorrere a fornitori per esternalizzare trattamenti di dati personali, per soddisfare il principio del privacy by design (e anche quello del security by design) è necessario valutare il rischio relativo alla privacy e, come già detto, identificare le misure da prevedere.
Per questo, un metodo molto semplice consiste nell’attribuire un livello di impatto ai trattamenti che si vogliono esternalizzare. Il livello di rischio, anche se non esplicitamente calcolato, sarà sempre direttamente proporzionale al livello di impatto e pertanto potrà essere sufficiente basarsi su quest’ultimo.
È possibile stabilire 4 livelli di impatto e, per ciascuno di essi, è possibile stabilire le misure che un fornitore deve rispettare.
Questo approccio può essere ulteriormente semplificato grazie alla pubblicazione “Handbook on Security of Personal Data Processing” di ENISA (tradotto in italiano da alcuni volontari), che propone già una scala di 4 livelli di impatto e misure di sicurezza suddivise per 3 livelli di rischio.
È quindi possibile associare al livello di impatto basso le misure di colore verde, al livello di impatto medio le misure di colore giallo e ai livelli di impatto alto e altissimo le misure di colore rosso.
Il censimento dei fornitori
Con questo metodo è possibile creare una lista dei fornitori, il livello di impatto dei trattamenti a loro affidati e come si intende affrontare le richieste relative alle misure di sicurezza.
Un esempio è fornito dalla tabella seguente (sono riportati solo alcuni tipi di fornitori e non è esaustiva).
| Società | Dati personali trattati | Impatto | Decisione |
|---|---|---|---|
| Auditor contabili | Organigramma nominativo | Basso | Usare modello standard di addendum contrattuale (misure di livello basso). |
| Formazione | Persone che partecipano alla formazione | Basso | Usare modello standard di addendum contrattuale (misure di livello basso). |
| Consulenti salute e sicurezza dei lavoratori | Dati personali anche relativi allo stato di salute. | Medio | Integrare contratto con garanzie privacy. |
| Consulenti legali | Dati contratti (clienti e fornitori) Dati dei dipendenti (cause con dipendenti). | Alto | Integrare contratto con garanzie privacy di livello “medio” applicabili al loro caso. |
| Banche | Dati dei dipendenti (stipendio lordo) | Medio | Verificare le loro clausole |
| Commercialista | Nessun dato personale | N/A | N/A |
| Noleggio auto | Dati di contatto. Numero patente. Dati di localizzazione. | Basso | Si dichiarano co-titolari. Chiedere copia dell’informativa data ai guidatori. |
| Buste paga | Dati anche di salute e di appartenenza sindacale e anche cessioni dei quinti (morosità). Dati familiari. | Alto | Integrare contratto con garanzie privacy di livello “rosso”. |
I questionari ai fornitori
Purtroppo, in questi anni si è affermata la pratica di far compilare ai fornitori e potenziali fornitori questionari relativi alle misure di protezione dei dati personali adottate. Questi questionari non rappresentano alcuna valutazione del rischio né permettono di dimostrare il reale controllo dei fornitori.
Innanzitutto, la gran parte dei questionari richiede solamente se il fornitore rispetta quanto richiesto dal GDPR (“hai un processo per gestire le richieste degli interessati?”, “hai un processo per gestire le violazioni dei dati personali?”, eccetera). Questo approccio ha ovvie carenze:
- da un punto di vista di efficienza, potrebbe chiedere semplicemente se il fornitore ha applicato quanto previsto dal GDPR;
- da un punto di vista di efficacia non indaga sulla reale robustezza delle misure di sicurezza, ma solo sulla loro presenza, mentre sappiamo bene che i meccanismi di controllo degli accessi, per fare solo un esempio, possono essere progettati e realizzati in modi molto diversi tra loro;
- da un punto di vista di significatività sono risibili, visto che domande come “applichi meccanismi crittografici” possono essere interpretati in talmente tanti modi che tutti potrebbero rispondere “sì”;
- da un punto di vista di trattamento del rischio non si traducono in reali richieste ai fornitori e quindi di azioni di controllo del rischio.
Va aggiunto che, poiché ogni organizzazione realizza questionari organizzati in modo diverso, provocano inutili sovraccarichi di lavoro ai fornitori (e potenziali fornitori) solo per compilare documenti, mentre non è assolutamente questo lo spirito della normativa.
Alcune organizzazioni realizzano questionari potenzialmente più utili, chiedendo maggiori dettagli su come le misure sono realizzate. Ma ancora una volta l’approccio è sbagliato: il cliente deve stabilire le misure di sicurezza e richiedere ai fornitori di applicarle, non chiedere ai fornitori quali misure attuano per poi decidere quali chiedere.
Nel caso in cui un fornitore non possa applicare le misure come richiesto, può proporre alternative ed è compito del cliente valutare se sono equivalenti o comunque accettabili.
Ultima considerazione: l’uso dei questionari è già stato sperimentato per le certificazioni ISO 9001 e le organizzazioni che li hanno adottati oggi non li usano più in quanto si sono rivelati totalmente inutili.
Conclusione
È possibile riepilogare molto brevemente quanto sin qui scritto:
- i clienti devono valutare il rischio e stabilire le misure di sicurezza che i fornitori devono adottare per il trattamento delle informazioni affidate;
- le misure di sicurezza vanno stabilite in un documento con valenza contrattuale; se un fornitore non può soddisfare alcune misure, lo deve dichiarare in fase di contrattazione;
- il cliente può verificare lo stato di applicazione delle misure attraverso audit sul campo; è inutile l’uso di questionari che, in sostanza, richiedono solo se il contratto è rispettato (si tratta di una “misura di carta” senza valore, visto che già il fornitore si è impegnato a rispettare il contratto con la firma);
- i questionari non permettono né di condurre valutazioni del rischio né di decidere le misure di sicurezza da adottare e pertanto il loro uso va scoraggiato.
