Di recente mi è stato sottoposto il report 2020 delle attività dell’EDPB (European Data Protection Board) dove, in estrema sintesi, vengono rappresentate le attività e i risultati ottenuti da EDP* (il simbolo dell’asterisco va inteso come carattere jolly che può assumere valori diversi come B, per Board, S per Supervisor; per essere più precisa avrei dovuto usare il “?” che significa carattere jolly di un solo simbolo, ma il fatto che “?” abbia un significato anche in italiano avrebbe reso la sigla un po’ più strana di quanto non lo sia già).
Il racconto esprime l’influenza e il ruolo di primo piano che la crisi pandemica ha avuto anche per quanto riguarda le attività delle istituzioni europee: ne hanno risentito perché hanno, come tutti, dovuto modificare le proprie modalità di lavoro (influenza) e se ne sono occupati perchè sono nati ambiti di interesse sovranazionale presso cui occuparsi della protezione dei dati personali, vedi ad esempio le app di tracciamento del contagio (ruolo). Dicono un gran bene di sè e dei propri risultati, ça va sans dire.
Fare il grillo parlante è sempre molto divertente, potrei qui intrattenere il lettore dando chiavi di lettura dei risultati (e dei KPI proposti!!) alternative a quelle del report (che celebrarsi e presentarsi bene è lecito, però…), ma dubito possa essere di qualche utilità.
Indice degli argomenti
Compliance GDPR: gli strumenti per aiutare chi tratta dati
Mi piace invece approfittare degli spunti che il report offre circa le azioni che, un po’ più concretamente di altre, credo possano tradursi in un buon supporto per quegli organismi che maneggiano i dati personali (grandi aziende, PMI, PA ecc).
È iniziata infatti l’era delle prime versioni di strumenti costruiti per facilitare alcuni dei compiti che derivano dalla responsabilità di trattare dei dati personali, per esempio le guide tipo DPIA in a nutshell oppure il Website Evidence Collector, per non parlare delle indicazioni fornite all’amministrazione americana per guidare, in epoca post sentenza Schrems II, la valutazione del rischio causato dal trasferimento dei dati personali da UE agli Stati Uniti (in questo articolo si può vedere il tono sufficientemente “rispettoso” con cui si è parlato l’anno scorso di questo argomento proprio dagli addetti ai lavori statunitensi).
Non si tratta di strumenti che risolvono i problemi della vita dell’azienda che si trova in alto mare con la compliance GDPR, ovvio, ma io trovo apprezzabile che, laddove ciò non interferisca o confligga con il ruolo istituzionale, dopo il tempo di costruzione di un complesso sistema di regole sia arrivato quello dove EDP* offre supporti non solo di guida, ma anche operativi.
Il framework cyber security del NIST: un punto di riferimento
In tutto questo mi stupisce tuttavia una cosa: l’autunno scorso il NIST ha pubblicato la prima vera revisione del proprio framework cyber security (qui per chi ancora non ha avuto l’ardire di dare un’occhiata:), ribattezzato Next Generation Controls, in cui uno dei cambiamenti più significativi è la totale integrazione dei controlli specifici di Personal Data Protection all’interno della pletora di controlli Cyber Security (attenzione, la parola “controlli” è in questa sede utilizzata con la stessa accezione di IT controls, che significa misura/processo/scelta in funzione dell’oggetto di cui si sta parlando, non significa “verifica”).
Non mi aspettavo che EDP* citasse il (brand del) NIST all’interno dei documenti ufficiali nè che lo nominasse suo braccio operativo honoris causa, però vista la nuova propensione al supporto attivo ed operativo , mi aspettavo che nelle pubblicazioni successive quella della Rev 5 (i Next Generation Controls, appunto) il riferimento fosse quantomeno suggerito.
Nel disegnare per una azienda cliente il loro nuovo modello operativo a presidio della Cyber Security mi sono autoinflitta la pena di leggermi tutto il “nuovo” framework e posso testimoniare che in effetti il dettaglio con cui sono stati descritti i controlli in ambito “Privacy” è sicuramente molto più spinto di qualunque altro documento di indirizzo mi sia capitato sotto mano, sia che si parli di modalità di approccio (come la data minization) sia che si parli di misure tecniche di protezione (livello o tipologia di cifratura, tipologia di controllo accessi ecc.).
Certamente il framework del NIST si concentra sugli aspetti precipui di sicurezza, fino ad includere le raccomandazioni di tracciatura e monitoraggio, ma ovviamente non include requisiti o indicazioni che facilitino le organizzazioni ad assolvere gli altri obbilighi derivanti da GDPR (o dal futuro/futuribile Regolamento ePrivacy, altrimenti noto come ePrivacy rules) come ad esempio le procedure per garantire i diritti dell’Interessato quali il diritto all’oblio o l’aver evidenza di come sono gestiti i suoi dati dai sistemi aziendali.
Una collaborazione tra Garanti UE e NIST è auspicabile?
Pur restando dunque partecipe solo in parte alla missione della protezione del dato personale alla luce delle regole EU, sono dell’opinione che la nuova versione del framework NIST riduca di parecchio l’elenco delle cose da capire della ToDo list, lasciando alle aziende solo la responsabilità di decidere se applicare o meno misure di sicurezza già belle e spiegate.
Più supporto operativo di così mi posso immaginare solo un EDP* che collabora con il NIST o rimanda al medesimo per consentire alle aziende di risparmiare tempo e una maggiore probabilità di centrare l’obiettivo.
