Adottare un sistema di limitazione dell’accesso ai dati all’interno dell’azienda riduce il rischio di data breach. Al contempo, è un’attività strategica che consente di avere un maggiore controllo sui flussi informativi, semplificando la realizzazione dei progetti basati sul trattamento dei dati.
Per definire un sistema di limitazione dell’accesso ai dati conforme al GDPR occorre progettare e attuare un processo complesso, che deve mediare tra le esigenze di accesso ai dati e i rischi correlati all’accesso stesso.
Indice degli argomenti
Sistema di limitazione dell’accesso ai dati: norme di riferimento
Un sistema di limitazione dell’accesso ai dati (o di gestione del controllo degli accessi) assicura che i dati personali siano resi accessibili alle sole persone autorizzate che ne hanno necessità per svolgere le proprie mansioni.
Aziende ed enti che trattano dati personali, a prescindere dalla loro dimensione, sono tenuti all’adozione di un sistema di questo tipo in base al vigente quadro normativo sulla protezione dei dati personali e, in particolare, per ragioni di conformità agli obblighi di sicurezza previsti dal Regolamento (UE) 2016/679 (“GDPR”).
Le misure che compongono questo sistema sono necessarie, altresì, in base agli obblighi di protezione dei dati per impostazione predefinita (“privacy by default”), espressamente rilevanti anche per l’accessibilità dei dati (art. 25, par. 2 del GDPR).
Questi ultimi obblighi, inoltre, impongono che tali misure siano progettate, implementate e testate prima che l’ente inizi a raccogliere e trattare i dati.
Il GDPR prevede che i dati personali possano essere trattati soltanto dalle persone in tal senso autorizzate, alle quali devono essere fornite specifiche istruzioni sul trattamento (artt. 29 e 32). L’autorizzazione al trattamento è solo il punto di arrivo di un processo specifico, integrato in un complessivo sistema di gestione della privacy che consente di rispettare i principi fondamentali sul trattamento dei dati.
Il sistema di controllo degli accessi è legato in particolare ai principi di minimizzazione dei dati e integrità e riservatezza (art. 5 del GDPR). Dal punto di vista della sicurezza, detto sistema è direttamente funzionale a garantire la riservatezza dei dati, in riferimento ai rischi relativi all’accesso illegittimo, sia esso accidentale o intenzionale.
Si ricorda, inoltre, che in materia di limitazione degli accessi sono previste specifiche prescrizioni per trattamenti particolari (es. dati genetici) o in specifici settori (es. nel pubblico).
Il tema in esame era disciplinato anche dalla normativa previgente (All. B al D.lgs. 196/2003 anteriore alle modifiche di adeguamento al GDPR), che prevedeva diversi obblighi in materia (es. individuare l’ambito di trattamento consentito agli incaricati, adottare un sistema di autorizzazione ecc.).
Il GDPR, tuttavia, ha mutato nettamente il quadro degli adempimenti da curare per conformarsi agli standard previsti, assieme al rischio legale correlato (sanzioni amministrative, illeciti penali ecc.).
In merito alle misure di contrasto, lo scorso dicembre, ad esempio, l’autorità privacy svedese ha sanzionato diversi centri sanitari per carenze nella definizione di un adeguato sistema di limitazione degli accessi (es. omissione della necessaria analisi dei bisogni e dei rischi) con misure fino a 30 milioni di corone svedesi (pari a oltre 2,9 milioni di euro).
L’adozione di misure di limitazione dell’accesso consente di ridurre il rischio di eventi indesiderati e, specialmente, quello di subire violazioni dei dati.
L’accesso non autorizzato ai dati, infatti, costituisce data breach ed è tale anche se perpetrato in modo accidentale dal personale interno all’ente. Le misure in esame riducono il rischio di violazioni dei dati dovute anche ad attacchi esterni, ma si consideri che comunque il 30% dei dati breach coinvolge attori interni (Verizon, “Data Breach Investigations Report”, 2020).
Limitare il rischio di violazioni dei dati, oggi, è una priorità per ogni ente, anche a fronte del danno reputazionale che può derivare da tali eventi (es. il 65 % dei danni cagionati alle aziende da minacce interne include lesioni incidenti sulla reputazione – Egress, “Insider Data Breach survey 2019”).
Realizzare un sistema di limitazione dell’accesso ai dati
Realizzare un sistema di limitazione dell’accesso ai dati personali è un’attività complessa, articolata in più fasi e da svolgersi in modo coerente con gli indirizzi previsti dalle policy e procedure aziendali in materia di protezione dei dati personali, di information security e dalle altre eventualmente rilevanti.
L’attività in esame, inoltre, si innesta nella complessiva cornice degli adempimenti in materia di privacy e, in tal senso, da un lato presuppone che siano state già svolte altre attività (legali e tecniche), dall’altro richiede che ulteriori attività seguano e si affianchino alla stessa.
In questa sede, la tematica è ovviamente semplificata e presentata nei suoi tratti essenziali, principalmente in base alle indicazioni dell’Agenzia europea sulla cybersecurity, del Gruppo di lavoro Art. 29 e del Comitato Europeo per la Protezione dei Dati, nonché agli standard rilevanti (es. ISO 27100), ai quali si rinvia per ogni approfondimento.
Sistema di limitazione dell’accesso ai dati: l’accountability
Lo svolgimento di ciascuna delle attività necessarie alla realizzazione di un sistema di limitazione degli accessi deve essere debitamente documentato, in conformità al principio di responsabilizzazione (“accountability”, art. 5, par. 2 del GDPR).
Titolari e responsabili del trattamento devono essere nelle condizioni di comprovare l’effettuazione degli adempimenti svolti: vantare la mera attribuzione al personale incaricato di accessi differenziati in base a un sistema di autorizzazione, senza poter produrre la documentazione che dimostra perché le singole persone sono state autorizzate in una certa misura anziché in un’altra, non è sufficiente a garantire il rispetto del GDPR.
La violazione degli obblighi di accountability, peraltro, integra una violazione censurabile in via autonoma con le sanzioni pecuniarie più aspre previste dal GDPR (come noto, fino al 4 % del fatturato mondiale totale annuo dell’impresa).
In chiusura sul punto, è bene evidenziare che le misure di responsabilizzazione agevolano l’azienda nel mantenimento del controllo sulla gestione dei dati e del rischio connesso, consentendo di semplificare le attività di compliance anche nel contesto dell’ideazione e realizzazione dei nuovi progetti.
Sistema di limitazione dell’accesso ai dati: l’analisi dei bisogni
La prima attività da svolgere consiste nello svolgimento di un’analisi dei bisogni, parte della più ampia analisi dei bisogni e dei rischi che possono derivare dall’accesso ai dati (“needs’ & risk analysis”).
L’analisi dei bisogni ha l’obiettivo di determinare se e in quale misura una persona, a fronte delle mansioni specificamente attribuitele, ha bisogno di accedere e di trattare dati personali.
Essa consente di comprendere chi ha l’esigenza di accedere ai dati, quali informazioni dovrebbero essere incluse nel profilo di autorizzazione e in quali contesti e tempi ciascuna risorsa ha bisogno dell’accesso.
L’individuazione di questi aspetti è strumentale a tutte le successive determinazioni, che perseguono l’obiettivo di ridurre l’accesso ai dati di ogni incaricato a quanto strettamente necessario per l’adempimento dei propri doveri, nel rispetto del principio di minimizzazione dei dati. Dal punto di vista della sicurezza informatica, quest’obiettivo è perseguito dal principio del c.d. privilegio minimo.
L’effettuazione di un’analisi sulla necessità dell’accesso ai dati è obbligatoria anche in base agli obblighi di privacy by default, come espressamente chiarito dall’EDPB nelle Linee guida 4/2019, v. 2.0.
La valutazione dei bisogni deve essere debitamente contestualizzata, posto che ciascuna risorsa è l’elemento di un ingranaggio più complesso, a sua volta caratterizzato da determinate necessità. In tal senso, occorre considerare anche le esigenze del reparto aziendale in cui l’incaricato opera, nonché gli obiettivi del reparto stesso nel quadro della complessiva organizzazione aziendale.
L’analisi e la gestione dei rischi
Per definire e gestire il controllo degli accessi in modo adeguato è indispensabile analizzare e valutare in modo combinato sia le esigenze di accesso ai dati sia i rischi connessi a tale accesso.
La necessità di definire i profili di autorizzazione e le misure tecniche correlate in base al rischio presentato dal trattamento, ad esempio, è stata recentemente evidenziata dal Garante privacy nel parere sulla realizzazione del call center Immuni (provvedimento del 17 dicembre 2020).
L’analisi dei rischi è ancorata alle caratteristiche del trattamento per cui si determinano i livelli di accesso ed è una valutazione oggettiva che deve essere svolta in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento (considerando 76 del GDPR). Deve essere considerata ogni singola operazione che compone l’intero flusso dei dati (es. raccolta, trasmissione, archiviazione ecc.), così come inserita in un determinato contesto di trattamento.
L’attenzione deve concentrarsi sui rischi derivanti dalle minacce di accesso illegittimo, che devono essere analizzati dal punto di vista dei diritti e delle libertà delle persone fisiche (non limitatamente al diritto alla protezione dei dati personali).
Devono evidenziarsi anche gli effetti avversi secondari eventualmente rilevanti, che non è possibile ignorare quando sono in gioco i diritti della persona. I processi aziendali di gestione dell’informazione e del rischio, dunque, in caso di trattamento dei dati personali devono essere integrati da altri appositamente dedicati alla gestione del rischio privacy.
Dopo una prima fase, sistematica e approfondita, di individuazione dei rischi, occorre procedere alla valutazione di questi in termini di gravità e probabilità. La gravità consiste nella magnitudo del rischio e dipende dalla considerazione dei livelli di identificazione dei dati personali e delle conseguenze pregiudizievoli che possono derivare in capo agli interessati dai potenziali impatti relativi alle minacce considerate (es. furto d’identità).
La determinazione della probabilità del rischio, invece, impone di considerare il livello di vulnerabilità degli asset di supporto dei dati e, per ogni minaccia, il livello di capacità delle fonti di rischio di sfruttare dette vulnerabilità.
Le informazioni da utilizzare per stimare impatto e probabilità possono essere acquisite, ad esempio, dall’esperienza passata (es. report di precedenti data breach), da linee guida e standard internazionali o da simulazioni sperimentali (per gli ambienti più complessi, anche basate su applicazioni dell’IA).
Definite gravità e probabilità, è possibile svolgere la complessiva valutazione dei rischi, attribuendo a ciascuno di essi un determinato valore in base alla combinazione del livello di gravità e probabilità.
Come detto, la valutazione si effettua in considerazione delle caratteristiche e del contesto del trattamento. Ad esempio, quando la definizione dei livelli di accesso riguarda sistemi in cui sono elaborati dati sensibili (es. dati sulla salute o sull’orientamento politico), la gravità del rischio è più elevata; ugualmente, si ha un innalzamento della gravità quando i dati riguardano categorie di persone vulnerabili (es. minori d’età, persone affette da disabilità ecc.).
La probabilità del rischio, invece, è ad esempio più alta se il numero di persone che ha esigenza di accedere ai dati è elevato o se la durata delle operazioni di trattamento necessarie per espletare le mansioni è particolarmente dilatata nel tempo.
All’esito di questa valutazione si ottiene il rischio “inerente”, da considerare nelle determinazioni della successiva fase di c.d. trattamento del rischio. Qui, l’organizzazione provvederà all’individuazione e attuazione delle misure, organizzative e tecniche, idonee a garantire un livello di sicurezza adeguato e, dunque, a definire la struttura autorizzativa del personale in modo conforme al GDPR.
Definizione della politica sugli accessi e dei profili di autorizzazione
In base alle risultanze della fase di analisi dei bisogni e dei rischi occorre delineare (o rimodulare) la politica sugli accessi, che è la misura organizzativa di riferimento per la gestione del controllo e della limitazione degli accessi e che prevede le ulteriori misure da implementarsi a questi fini.
Nella policy in questione sono previste le regole per l’accesso ai dati, i diritti di accesso e le limitazioni per i vari ruoli del personale incaricato, nonché altri profili (es. segregazione dei ruoli per la gestione del controllo degli accessi) a seconda delle opportune valutazioni di tipo strategico, del livello di rischio e delle altre caratteristiche del caso.
Per quanto riguarda la definizione dei profili di autorizzazione del personale incaricato a trattare i dati personali, a seconda del livello di rischio potrebbero eventualmente essere previste autorizzazioni di tipo collettivo (o “per classi omogenee di incaricati”, secondo la lettera della normativa previgente), avendo riguardo ai flussi di trattamento condivisi dal personale con le medesime mansioni.
Occorre attribuire i privilegi di accesso ai soli attributi di ogni dataset necessari per l’esecuzione dei compiti attribuiti e può essere doveroso prevedere più livelli di autorizzazione e di limitazione degli accessi. Ad esempio, può essere necessario impedire a chi abbia accesso a un dataset per il compimento di mansioni quotidiane, di accedere contestualmente ad altri dati rientranti nel complessivo profilo di autorizzazione ma necessari solo per mansioni da svolgersi in ipotesi circoscritte.
Un’allocazione ampia o approssimativa dei diritti di accesso può essere considerata una violazione dei dati e, se non giustificata da valide ragioni, è normalmente contraria al principio di minimizzazione.
Una volta individuati i profili di autorizzazione, è possibile definire la lista del personale autorizzato e provvedere alla formale autorizzazione al trattamento dei vari incaricati (secondo le modalità più opportune individuate dall’ente, ai sensi dell’art. 2-quaterdecies del D.lgs. 196/2003). Occorrerà ovviamente effettuare anche gli adempimenti connessi a dette attività, definiti in altri contesti.
In ultimo, preme segnalare che, per il personale autorizzato, il compimento di operazioni di trattamento non contemplate nel profilo di autorizzazione integra il reato di accesso abusivo a sistema informatico o telematico (art. 615 ter c.p.) e, se del caso, quello di frode informatica (art. 640 ter c.p.).
La scelta delle misure per la limitazione degli accessi
Le misure tecniche e organizzative che implementano il sistema e la policy aziendale sugli accessi devono essere adottate considerando assieme le risultanze dell’analisi dei rischi e le caratteristiche dei trattamenti, nonché lo stato dell’arte e i costi di attuazione.
Il riferimento allo “stato dell’arte” impone di tenere conto degli ultimi progressi relativi alle tecnologie disponibili sul mercato ed impone una valutazione dinamica, per assicurare che le misure (anche quelle organizzative) siano sempre efficaci. Il riferimento ai “costi di attuazione” permette di scegliere misure più economiche, se egualmente efficaci ad altre più costose, ma non può giustificare il mancato rispetto degli standard fissati dal GDPR (EDPB, Linee guida 4/2019, v. 2.0).
Oltre al sistema di autorizzazione, è di centrale importanza l’adozione del sistema di autenticazione informatica. Questa misura tecnica consente di gestire l’accesso del personale ai sistemi IT usati per il trattamento, permettendo di creare, approvare, revisionare ed eliminare gli account per ogni utente autorizzato (normalmente occorre evitare l’utilizzo di account in comune tra più utenti).
In merito alle procedure di autenticazione, lo standard minimo per le credenziali di autenticazione prevede che la password rispetti un certo livello di complessità e che il sistema impedisca l’uso di password che non lo rispettano. Crescendo il livello di rischio, occorre prevedere misure più stringenti (es. una specifica policy sulle password, recante indicazioni su periodo di validità, eventuale archiviazione in forma di hash ecc.).
In merito alla complessità della password, l’autorità privacy francese (CNIL), con il provvedimento pubblicato lo scorso 6 gennaio 2021, per le ipotesi di autenticazione basate sulla sola combinazione username/password ha chiarito che quest’ultima deve essere composta da un minimo di 12 caratteri, di cui almeno una maiuscola, una minuscola, un numero e un carattere speciale.
Per i trattamenti con rischio più elevato, può essere necessario adottare procedure di autenticazione multifattoriale (“MFA”) o a 2 fattori (“2FA”), in cui l’autenticazione si basa appunto sulla combinazione di più fattori indipendenti.
Richiamando la definizione di “autenticazione forte” prevista dalla nuova direttiva sui servizi di pagamento (Payment Services Directive, “PSD2”), si ricorda che i fattori sono: qualcosa che solo l’utente conosce, qualcosa che solo l’utente possiede (es. un token USB) e qualcosa che caratterizza l’utente (dati biometrici).
Può essere utile legare l’autenticazione anche a “qualcosa che il sistema conosce sull’utente”, per assicurare che l’accesso sia effettuato solo tramite i dispositivi autorizzati.
L’importanza di prevedere l’autenticazione a più fattori è evidente a fronte delle vulnerabilità dell’autenticazione basata sulla mera combinazione username/password: secondo uno studio di Verizon, l’81 % delle situazioni compromettenti è dovuto all’uso di password deboli o sottratte (Verizon, “Data Breach Investigations Report”, 2017).
A ogni modo, la stessa autenticazione a più fattori deve essere progettata considerandone le vulnerabilità (si pensi al rischio del c.d. SIM swapping, rilevante quando il secondo fattore di autenticazione è il contenuto di un SMS inviato al dispositivo dell’incaricato).
A livello organizzativo, una misura indispensabile è la periodica formazione in materia di privacy del personale autorizzato (necessaria, ad esempio, per limitare i data breach accidentali). Ulteriori misure adottabili a seconda del livello rischio sono, ad esempio, la segregazione, la pseudonimizzazione e l’aggregazione. In merito, si ricorda che per raggiungere lo standard di sicurezza richiesto dal GDPR normalmente occorre combinare tra loro più misure di diverso tipo.
La scelta delle misure più idonee, inoltre, deve considerare le specificità e i rischi connessi a scenari particolari, come ad esempio la possibilità di utilizzare dispositivi personali (“Bring Your Own Device”), nonché l’accesso ai sistemi di trattamento nel contesto dello smart working o del lavoro da remoto. In ogni caso, per raggiungere il livello di sicurezza richiesto dal GDPR è ovviamente necessario implementare anche le altre misure attinenti a profili connessi ma diversi da quello in esame.
Una valutazione degli interessi giuridici rilevanti è sempre opportuna, onde evitare di implementare misure inidonee o addirittura illecite.
Si pensi, ad esempio, alla sanzione adottata lo scorso novembre dal Garante privacy nei confronti di un’azienda che, per limitare i furti di dati da parte del personale, aveva implementato una “clean desk policy” che obbligava gli incaricati a svuotare sulla scrivania il contenuto delle proprie borse, pratica ovviamente lesiva della dignità dei lavoratori.
Gestione del controllo degli accessi: un processo dinamico
Per garantire la conformità alla normativa vigente è necessario che il sistema di limitazione degli accessi sia regolarmente monitorato e, laddove necessario, aggiornato in ogni sua componente.
La necessità di rimodulare le misure che compongono il sistema si collega anzitutto ad elementi fattuali (es. mutamento delle mansioni attribuite, nuove minacce informatiche, obsolescenza delle misure adottate).
A livello normativo, la necessità di interpretare gli adempimenti in esame in chiave dinamica, come elementi di un processo continuo, si connette ad esempio alla necessità di assicurare “su base permanente” la riservatezza e la resilienza dei sistemi di trattamento, nonché l’efficacia delle misure adottate, mediante apposite procedure di test, verifica e valutazione periodica (art. 32 del GDPR).
Ne consegue che la corretta definizione del sistema di limitazione degli accessi impone di disciplinare e innestare, nei vari processi aziendali rilevanti, procedure per garantire che la struttura autorizzativa sia sempre aggiornata e conforme alla normativa vigente.
Conclusioni
La definizione di un sistema di limitazione degli accessi richiede valutazioni complesse e deve essere svolta da professionisti, interni o esterni, con competenze specifiche in materia di protezione dei dati personali (ovviamente, coinvolgendo l’eventuale DPO).
L’importanza di questi adempimenti, peraltro, travalica il tema della protezione dei dati: un’allocazione troppo ristretta dei privilegi, ad esempio, può incidere sulla capacità del personale di svolgerei i propri compiti, con conseguenze anche drammatiche sui diritti delle persone.
Si pensi, ad esempio, al caso in cui il personale medico si scopre, innanzi a un’urgenza clinica, carente dei necessari privilegi per accedere a informazioni essenziali per garantire la vita del paziente.
A ogni modo, l’approccio basato sul rischio che caratterizza il GDPR consente flessibilità nell’implementazione delle misure richieste. Le risultanze dell’analisi dei bisogni e dei rischi, unitamente agli altri elementi già evidenziati, permettono di operare le scelte più adeguate alle proprie esigenze.
La stessa analisi dei rischi, perno essenziale per la definizione del sistema esaminato, potrà essere strutturata in modo semplificato, in caso di trattamenti a basso rischio.
Sarà dunque ogni azienda o ente, adempiendo ai propri doveri di accountability, a valutare e decidere le misure adeguate alle proprie specificità.