GDPR protagonista al POLIMI

Aula Magna stracolma e grande attenzione del pubblico il 17/1 per il convegno dedicato al GDPR dall’Osservatorio Information Security & Privacy del Polimi. Nella sua introduzione Alessandro Piva (Direttore dell’Osservatorio) ha anticipato alcuni risultati della Ricerca che sarà presentata il 2/2, dalla quale emerge la vastità ed eterogeneità delle minacce, alcune delle quali hanno avuto gli onori della cronaca nel 2016: gli hacker (violazione yahoo ed elezioni USA), l’IOT ed il ransomware. Le principali vulnerabilità derivano sempre dal fattore umano (78% inconsapevolezza e 56% distrazione), messo a dura prova dalla complicazione del contesto tecnologico (47% mobile e 33% BYOD). Come stanno reagendo le aziende? Solo il 9% ha in corso un progetto strutturato, mentre il 46% ha avviato almeno l’analisi dei requirements. Si sta tuttavia assistendo ad una accelerazione nella consapevolezza: se il 50% delle aziende non ha ancora un BDG dedicato, un altro 35% lo avrà entro 6 mesi; e se un 45% non prevede cambiamenti organizzativi, un altro 34% lo prevede entro 6 mesi. Fra le azioni previste in testa l’assessment (42%) mentre solo il 22% intende rivedere profondamente la sicurezza informatica e il 12% definirà nuovi processi.

Gabriele Faggioli (Presidente CLUSIT e Direttore Scientifico dell’Osservatorio) ha svolto la funzione di chairman, introducendo ed interrogando i relatori. Nel suo intervento  ha ripercorso l’evoluzione della Privacy in Italia, da una iniziale applicazione troppo omogenea (senza distinzione per settori o per dimensione), che ha creato repulsione, attraverso il passo avanti costituito dal Codice vigente (che ha introdotto la visione settoriale) sino al periodo successivo al 2011 che ha visto due tendenze contrastanti: una semplificazione generale ed un aggravamento in alcuni settori (banche. telco, sanità). Con il GDPR si passa ad una visione sistemica, tanto che si potrà arrivare a Certificazioni. In attesa di sapere come si muoverà il legislatore nazionale (che potrà introdurre deroghe e semplificazioni, ad es. per le PMI), è importante ricordare che non decadono i Provvedimenti del Garante, gli accordi internazionali e le Decisioni della Commissione UE. Fra le novità introdotte dal GDPR (registro dei trattamenti, DPIA, misure adeguate, entità delle sanzioni, DPO, accountability) assumono particolare rilevanza le Certificazioni (che costituiranno una fortissima leva per i fornitori di servizi It e Cloud) e la responsabilità solidale fra Titolare e Responsabile (che comporterà un cambiamento della contrattualistica di outsourcing). Va compreso che l’ottica del Cloud cambia la prospettiva della security: nell’outsourcing tradizionale era il cliente che definiva il livello di sicurezza, alto a piacimento (bastava pagare); nel Cloud è il fornitore che definisce il livello di sicurezza standard per tutti, i contratti dovranno adeguarsi.

Centrato sulla Sicurezza Informatica l’intervento di Alessandro Vallega (Coordinator di Europrivacy), che ne ha seguito le tracce dagli articoli 5, 24, 25 e 28 (che la vedono come un obbligo) ai 34 e 83 (che la presentano come una opportunità) ma soprattutto nel 32, che è stato sezionato ed analizzato a fondo. Chiarito che per misure “adeguate” si intende adeguate al rischio ed all’evoluzione tecnologica, tenuto conto dei costi di attuazione, per i nostalgici del disciplinare tecnico c’è un elenco di misure “tra le altre, se del caso” (ovvero a titolo di esempio) delle quali solo una (la cifratura) è una tecnologia, mentre le altre tre (capacità di assicurare… capacità di ripristinare… e procedura per testare…) sono misure organizzative. Ma se il GDPR non prescrive specifiche misure tecnologiche, lasciando al Titolare l’individuazione e adozione di quelle adeguate, cosa dobbiamo aspettarci che chiedano le ispezioni del Garante? Forse chiederanno: la compliance alle best practice di security (es. 27000); come sono gestite l’autenticazione, l’abilitazione granulare, la segregation of duty; se sono rispettati principi quali Need to know, Least privilege, Accountability; se sono previsti encryption e log management. Ad esempio potrebbero verificare che le credenziali presenti su sistemi in cloud siano allineate con l’identity management on premise, ed in particolare che siano cancellate dal cloud le credenziali dei soggetti cessati o che hanno perso i requisiti di accesso ai dati. Come fare a dimostrare l’applicazione delle misure previste? Non basta la dimostrabilità tecnica da parte dell’IT: è necessaria una procedura di verifica, in carico all’Audit, che dovrà produrre evidenze documentali. Infine, se è vero che chi fa IT Security sa bene che ci sono ampi margini di miglioramento, da dove cominciare? Beh, almeno tentando di contrastare le cattive prassi, che sono note (vedi “most common mistakes” nel rapporto CLUSIT)!

Molto atteso l’intervento del rappresentante dell’Autorità Garante, Antonio Caselli, che ha evidenziato come il GDPR rappresenti un’opportunità, richiedendo più proattività che si concretizza nell’accountability ed in un approccio risk-based: così la Privacy potrà finalmente diventare parte di un processo e cessare di essere qualcosa di posticcio. Grande vantaggio deriverà dalla europeizzazione non solo delle regole ma anche dei processi (es. one-stop-shop). Le novità più rilevanti saranno il DPO (interfaccia verso il mondo esterno ed elemento di garanzia di progettualità all’interno), le certificazioni (ancora tutte da definire) e la nuova visione dell’Interesse Legittimo come fondamento del trattamento (valutazione lasciata al Titolare, non più a terzi). Cosa manca al GDPR per poter essere applicato compiutamente? Essenzialmente l’integrazione legislativa dei soggetti nazionali (ad es. sulle Certificazioni, ma anche sui dati biometrici, genetici e sanitari). Questo passaggio necessario sarà a carico del legislatore; il Garante vigilerà su questo processo e provvederà a mantenere alcuni valori aggiunti (es. Codici Deontologici, Regolamenti settoriali e Autorizzazioni Generali come quella sui dati sensibili), per “evitare shock agli operatori”.   Nel passaggio fondamentale da criteri obbligatori (come le Autorizzazioni preventive) alle Linee Guida, il Garante italiano è generalmente contrario ad iniziative nazionali, quindi promuoverà l’adozione delle LG emesse dal WP29. Caselli ha risposto anche ad alcune domande del pubblico: per le PMI il GDPR non fa riferimenti espliciti e lascia l’iniziativa agli stati membri (sono previste esenzioni e semplificazioni, oltre a Linee Guida nazionali entro l’anno per Codici di condotta e Certificazioni); per la PA il Garante aiuterà in termini di formazione/informazione ad alleviare il pesante onere del DPO obbligatorio. Una battuta finale è stata riservata al diritto all’Oblio, che è da considerare quasi “solo uno slogan” ovvero un modo per rafforzare il diritto alla cancellazione.

A chiusura della mattinata ha portato il suo saluto Donatella Sciuto (Professore Ordinario e Vice Rettore del Politecnico), che ha riconosciuto l’importanza della Privacy e della Security per entrambi i settori di attività dell’Ateneo: la didattica e la ricerca (specialmente in campo sanitario). E’ in corso la valutazione sulla possibilità di fare “learning analytics” esaminando il comportamento degli studenti sui sistemi didattici, al fine di sviluppare un’offerta didattica personalizzata, ma la cautela verso le possibili implicazioni privacy di questa opportunità è massima. Il Polimi sta per lanciare un corso di laurea in Cyber Security, disciplina che offre sicure opportunità professionali per i prossimi vent’anni.

E’ toccato a Raoul Brenna (CEFRIEL) l’ingrato compito di contrastare il torpore post-prandiale con un argomento non semplicissimo: le metodologie di valutazione dei rischi. Per individuare i rischi “likely high” (che comportano oneri aggiuntivi come la DPIA) e distinguerli da quelli “unlikely” si possono utilizzare schemi come quelli già elaborati in ambiti specifici quali la RFID di dati biometrici o lo Smart Grid. I template di applicazione del risk assessment su queste discipline possono essere utilizzati come modelli ai quali ispirarsi ma rischiano di rivelarsi troppo sofisticati e complessi. Per semplificare, è consigliabile ridurre le minacce a tre categorie (integrità, riservatezza e disponibilità) ed utilizzare i controlli di sicurezza della ISO 27001: è più facile trovare elenchi di misure di sicurezza da verificare che elenchi consolidati di vulnerabilità, quindi si può partire dalla presenza/assenza di misure per individuare le vulnerabilità (assenza di una misura di sicurezza = una vulnerabilità).

Sulla relazione di Sergio Fumagalli (Coordinator di Europrivacy) dedicata alla ricerca di una Data Protection “sostenibile ed efficace” per le PMI (attraverso l’adozione di Codici di condotta e DPO condivisi) riferisco a parte, tale è stato l’interesse che ho trovato per l’argomento e per la sua esposizione.

La relazione conclusiva di Fabio Guasconi (CLUSIT) è stata come sempre brillante e interessante, ma come sempre non sono d’accordo su quasi niente di quello che ha detto… In particolare sul primo tema, la Certificazione delle figure professionali della Privacy, alla definizione delle quali lavora da tempo una commissione Uninfo. Stanno per essere resi pubblici (e sottoposti a inchiesta pubblica prima della pubblicazione) i 4 profili e-CF sulla Protezione dei Dati. Il più atteso è ovviamente quello del DPO, che sarà un ruolo apicale “allineato esattamente con le caratteristiche e competenze richieste dal GDPR”, al quale si affianca il “Privacy Manager”, figura dai compiti operativi. Fin qui tutto benissimo, ma adesso viene il bello: “dato che il GDPR prevede la possibilità di assegnare al DPO, oltre ai compiti minimi prescritti, anche altre funzioni, sarà possibile sommare i ruoli di DPO e del Privacy Manager in una figura mista”… A mio modesto parere si tratta di un tentativo generoso di uscire dalla vexata quaestio “ma il DPO coincide con il Privacy Officer oppure no?!”, rispondendo sia no che sì, che però è destinato a fallire perché si scontra con una precisa limitazione posta esplicitamente dal GDPR: il DPO può sommarsi ad altre figure aziendali purché non abbiano ruoli operativi, altrimenti scatta il conflitto di interessi. Mi sa che su questo tema continueremo a confrontarci sino all’entrata in vigore del GDPR e forse anche dopo. In ogni caso lo schema si completa con i due ruoli di “Privacy Specialist” (alle dipendenze del Privacy Manager) e “Privacy Audit” (ovviamente indipendente). La speranza di UNI è che questo schema “nazionale” unificato possa prendere il posto degli schemi proprietari già presenti sul mercato. Più condivisibile la visione sulla Certificazione delle Organizzazioni, istituto previsto dal GDPR per consentire ad aziende ed enti di dimostrare la propria compliance. Già oggi esistono sul mercato diversi marchi o sigilli anche per la Privacy (es. la “Label CNIL” del Garante francese) ma i numeri delle aziende certificate sono risibili; i marchi non hanno appeal in quanto sono frammentati e non riconosciuti. La speranza che la situazione migliori è scarsa per la mancanza di un ente europeo incaricato di gestire questi certificati e per la confusione sulla funzione di accreditamento, assegnata sia ai Garanti che agli Enti di accreditamento (Accredia in Italia). Sono quindi possibili la proliferazione di marchi nazionali/proprietari, il tentativo di imporre uno schema unico europeo oppure anche l’adozione di una norma internazionale (ISO sta lavorando alla 27552 ma ne avrà ancora per un paio d’anni).

Appuntamento ancora in Bovisa il 2/2 per la presentazione della Ricerca 2016 dell’Osservatorio.