Il bicchiere mezzo pieno del GDPR

Intervista a Roberto Martino sulla nuova privacy europea e la sicurezza dei sistemi

Per Roberto Martino, uno dei nostri più esperti system administrator, la sicurezza delle reti non ha misteri 😊, ma da quando si è cominciato a parlare di GDPR, il famigerato regolamento europeo sulla privacy, nuove sfide sono apparse al suo orizzonte: formare i clienti alla cultura della protezione del dato proprio e altrui. Perché prevenire le sanzioni o le dispute legali è solo una parte della storia. 

Esperto in cloud computing e cybersicurezza, Roberto assiste ogni giorno decine di clienti nella gestione e messa a punto dei sistemi.  

Indice  Contributi
Se ne sentiva il bisogno? Scopri cosa cambia (infografica)
Quanto costa alle aziende Un esempio di trattamento conforme (infografica)
Gli errori da evitare Guida all'e-mail marketing compliant (e-book)
Come fare un piano di Disaster Recovery  
Come scegliere un provider Cloud  
Crea una posizione difendibile (accountability)  
Progettare la privacy (by design)  
Un esempio di minimizzazione dei dati  
Il marketing e la privacy by default  
Il bicchiere mezzo pieno  

 

  • Cominciamo dalla domanda che ci siamo fatti tutti. Se ne sentiva il bisogno? 

In realtà sì, anche se non ce ne rendiamo conto perché, quando si parla di GDPR, la componente emotiva a volte prevale sulla ragione. La paura delle sanzioni e di nuova burocrazia da macinare agiscono come un filtro, e così ci sfugge la prima ragione d’essere del regolamento: creare tra i nostri clienti un clima di fiducia nell’ambiente digitale. Le normative nazionali precedenti, infatti, oltre a non essere uniformi in ambito UE, risalgono agli anni 90, quando non era ancora chiaro l’effetto che le nuove tecnologie avrebbero prodotto sulla società e sul business.

Oggi il commercio elettronico in Europa sviluppa numeri impressionanti: 602 miliardi di euro e 324 milioni di persone che inseriscono nei sistemi dati personali (tra i quali rientrano anche i numeri delle nostre carte di credito). Una leva fondamentale per la crescita economica, a patto che ci siano tutela e garanzie sia per le aziende che per il cittadino.  Anche gli investimenti extra UE sicuramente vengono attratti e agevolati da un quadro legislativo omogeneo e senza zone d’ombra. Da questa prospettiva, i benefici attesi compensano lo sforzo richiesto dalla compliance.

Sì, ma quanto costa?

  • In media, le multinazionali europee sopra i 75.000 dipendenti hanno allocato al GDPR 5 milioni di dollari e 2-3 nuovi dipendenti completamente dedicati. (IAPP, EY, Annual Privacy Governance Report);
  • Si stima che le 145,000 PMI italiane (fatturato fino ai 5 milioni di euro), spenderanno fino a 50.000 euro per l'adeguamento (Agenda Digitale)

Torna all'indice

 

  • Una delle novità rispetto alla legge precedente è il quadro sanzionatorio, molto più severo, anche se è prevista una distinzione tra peccati venali e mortali. Quali sono gli errori che assolutamente si devono evitare nella gestione dei sistemi?

A prova di GDPR

La resilienza della piattaforma Power i, sulla quale abbiamo sviluppato Gemaut, è diventata leggendaria, in termini di solidità e impenetrabilità da parte dei virus mascherati da file. Si narra di server funzionanti dopo essere finiti nei torrenti in piena, ma, aneddoti a parte, esiste un motivo preciso per il quale è uno dei sistemi più sicuri al mondo: l’architettura “a oggetti”  del suo sistema operativo ignora i file eseguibili tipici di Windows®. Quelli, per intenderci, che possono veicolare comandi malevoli.

20 milioni di euro o il 4% del fatturato (e la specifica che si tratterà dell'importo superiore tra i due) si sono fissati nella mente come il fatto più noto del GDPR e fanno parte di quella narrativa del terrore di cui parlavo prima. In realtà si tratta della sanzione amministrativa massima ed è applicabile quando vengono violati i principi di base del trattamento, tra i quali compaiono l’integrità e la riservatezza del dato.

In questi concetti rientra la protezione da incidenti o calamità naturali, da una parte, e da attacchi malevoli, come i virus informatici, dall’altra. Devi sapere che a, causa del cybercrime, ogni anno in Italia vanno in fumo 9 miliardi di euro dei patrimoni aziendali, cioè l’equivalente dello 0.5% del PIL nazionale, danni indiretti eclusi. Inoltre, un piano di disaster recovery non serve solo per essere esibito in caso di controlli, dato che il 93% delle aziende colpite per più di 10 giorni dichiara bancarotta entro un anno.

Se non ci credi, leggiti i risultati di questa indagine della camera di commercio britannica, che evidenzia anche un altro fatto interessante: l'80% di tutti gli attacchi può essere evitato semplicemente rispettando le regole di base della sicurezza in rete. 

  • Intendi le solite?

​Proprio quelle: antivirus, backup, firewall, aggiornamento del sistema operativo. Puoi leggere una mia breve guida sull'argomento, dove raccomandavo soprattutto di non diventare complici degli aguzzini. Gli attacchi informatici infatti, agiscono spesso sfruttando una vulnerabilità nota dei sistemi operativi, com’era successo per il famoso ransomware WannaCry: in quel caso, Microsoft aveva tempestivamente rilasciato la patch di aggiornamento, ma non tutti gli utenti avevano aggiornato il sistema operativo.

Mi hai appena chiesto il senso ultimo della nuova privacy europea: a me pare che serva anche a difenderci da noi stessi, costringendoci ad un minimo di disciplina. Se il GDPR è una fortezza, comincia dalle fondamenta per costruirla!

     Tocca ferro e fai il piano

Una policy di Disaster Recovery deve:

mappare lo status quo della sicurezza testando indicatori specifici, ad es. il tempo che intercorre tra la produzione di un dato e la sua messa in sicurezza;
 descrivere le misure preventive, ad es. automatizzazione e delocalizzazione dei processi di backup (es. cloud);
 identificare le responsabilità delle persone quando scatta un'emergenza;
 dare priorità ai sistemi IT “critici” ai fini della protezione dei dati personali, ad esempio gli archivi delle cartelle cliniche dei dipendenti, secondo un approccio basato sul rischio;
 definire le direttive del piano di emergenza per il recupero dei dati in modo semplice e dettagliato;
 stimare il lasso di tempo massimo entro il quale i sistemi devono tornare operativi, considerando la capacità dell’infrastruttura e le circostanze avverse che hanno più probabilità di verificarsi;
 estendere la formazione del personale anche alle le figure non specializzate, includendo il management;
 testare regolarmente il piano e mantenerlo vivo nel tempo, aggiornandolo e apportando azioni correttive;
in caso di violazione dei dati, definita come “distruzione accidentale o illegale, perdita, modifica, rivelazione o accesso non autorizzati a dati personali”, prevedere una procedura per la notifica al garante della privacy. Si tratta di un obbligo previsto dal DGPR, e deve avvenire entro 72 ore dalla sua identificazione.

Torna all'indice

 

  • I servizi in cloud stanno sperimentando un vero e proprio boom, grazie a una domanda crescente di flessibilità e di logiche commerciali pay per use. Quali caratteristiche deve avere un provider "GDPR compliant"? 

Data l’emergenza sicurezza che viviamo a livello planetario, il legislatore incoraggia le imprese all'esternalizzazione per un motivo molto chiaro: migliorare le garanzie di sicurezza. L’adozione di servizi cloud permette infatti a tutte le aziende di accedere a tecnologie avanzate che difficilmente sarebbero accessibili in modalità “on premise”. Detto questo, i fattori che dovrebbero guidare la scelta di un provider compliant sono due:

  • Il luogo fisico in cui i dati saranno conservati. Se è all’interno dell’UE, possiamo presumere che il data center sia conforme, ma è meglio richiedere garanzie specifiche;
  • Dato che il GDPR in più passaggi indica la crittografia dei dati e degli archivi come tecnica d’elezione per proteggere i dati, è importante accertare la capacità del provider di offuscarli, cioè di renderli inutilizzabili a chi non conosca la chiave di cifratura. Ovviamente solo voi potete conoscerla, e deve rimanere ignota persino al provider stesso.

Torna all'indice

 

  • Un principio inedito rispetto al d.lgs. 196 è la “responsabilità verificabile” o, accountability: in pratica, non devi solo garantire che il trattamento sia conforme, ma devi anche poterlo sempre dimostrare. Puoi spiegarci come l’Information Technology può venirci in soccorso per gli adempimenti derivanti da questo concetto?

Accountability significa, in sostanza, che l’onere della prova spetta al Titolare/Responsabile del trattamento: fare senza poter dimostrare è infatti sanzionabile. 

Dato che il GDPR attiene all'ambito legale, prima che tecnologico, il principio guida il processo e quest'ultimo la sua applicazione da parte dell'IT, se necessaria. Anche in questo caso, quindi, prima di tutto sarà necessario adeguare (e descrivere) le procedure, mentre il lavoro a livello dei sistemi avrà un ruolo funzionale ed esecutivo. Con due obiettivi essenziali: prevenire o attenuare il rischio di violazioni, e automatizzare la rendicontazione delle attività a tutela dei dati personali. Due esempi:

marketing: recentemente, abbiamo sviluppato un sistema di automazione che integra il crm alla piattaforma per le e-mail promozionali in un ambiente sicuro. E' allineato al principio di responsabilità verificabile perchè traccia nel tempo consensi “multiflag” a cancellazioni, e può dare sempre evidenza immediata e aggiornata della conformità.

amministrazione dei sistemi: devi dimostrare la capacità del tuo sistema di identificare un utente e di limitare l'accesso indiscriminato ai dati, e prevedere procedure per la gestione ordinaria e straordinaria delle credenziali. Ad esempio, hai stabilito (e documentato) chi e quando disattiva l'account di un dipendente dimissionario o in maternità? 

Per dimostrare di essere in regola, può essere d'aiuto compilare il registro dei trattamenti (peraltro obbligatorio quasi per tutti): in pratica, la fotografia di quanto fai per proteggere i dati. Stai già pensando all'Excel, ma per i nostri clienti stiamo sviluppando un software ad hoc che gestirà tutto il "malloppo" privacy (ma non la tua buona volontà..).

     Crea una posizione difendibile

Traccia un percorso credibile verso la compliance e domandati sempre se puoi dimostrare:

  • Come controlli i dati (in particolare, se sono ridondanti rispetto alle finalità del trattamento);
  • Qual è il loro ciclo di vita (raccolta, conservazione, accuratezza, eventuale trasferimento, e quando devono essere cancellati);
  • Come li proteggi sia dalle minacce esterne che da un accesso interno non controllato;
  • Quali sono gli archivi a rischio e quali misure hai adottato per garantire un livello di sicurezza più elevato.

Torna all'indice

 

  • La Privacy progettuale (by design) è uno dei due principi inediti del GDPR. Abbiamo capito la teoria, ci illumini sulla pratica?

 Qualsiasi progetto va realizzato considerando la riservatezza e la protezione dei dati personali sin dalla progettazione (by design). La PbD esclude, pertanto, che si possa effettuare una valutazione di conformità alla normativa successivamente alla redazione del progetto stesso.

Il principio è solo apparentemente ovvio. In realtà ha applicazioni caleidoscopiche per tutte le funzioni aziendali, perché implica che qualsiasi iniziativa deve essere ripensata in chiave privacy, dalla progettazione di un software all'organizzazione di un evento, passando dall'acquisto dello schedario per conservare i dati personali (chiave!).

Criptare o non criptare?

Le unità esterne sulle quali conservi i backup possono essere conservate in azienda, in un armadio ignifugo provvisto di serratura. 

Ma se le porti fuori, dovrai prevedere un sistema di crittografia.

L’IT aziendale, da una parte, e gli utenti dall’altra devono tutelare il dato non come azione “accessoria” ma come presupposto essenziale. E, a livello di tecnologie, devono essere sviluppate o acquisite funzionalità abilitanti. Qualche esempio:

  • la pseudonimizzazione, anomizzazione o la criptatura dei dati;
  • la possibilità di separare gli archivi e di profilare gli utenti, come già avviene nel nostro gestionale, dove è possibile accedere per menù, chiavi di menu o funzione applicativa;
  • Piani di backup predefiniti, basati sulla ridondanza, per prevenire, prima che per correggere, perdite accidentali o dolose di dati;
  • Sistemi che non consentono l’utilizzo di password troppo semplici e che obbligano a cambiarle su base regolare.

L'hacker buono

E' una figura professionale molto richiesta e il suo compito è simulare gli attacchi dei "cattivi" per trovare le vulnerabilità prima di loro. 

Per quanto riguarda le procedure, mi sembra importante inserire nella prassi aziendale stress test regolari per verificare la solidità delle misure di sicurezza, ad es. prove di penetrazione o hacking etico. 

Nella Privacy by design rientra anche l’obbligo di minimizzare il trattamento: si devono cioè conservare soltanto i dati necessari e sufficienti in ordine alla finalità per la quale si richiedono. Di questo deve essere tenuto conto, ad esempio, quando si progetta un form per la registrazione sui siti web.

 

Un esempio di minimizzazione 

Cook & Co è un produttore di pasta fresca artigianale e Carla un’appassionata di cucina.

Per le sue campagne di e-mail marketing, Cook & co può richiedere a Carla nome, indirizzo di e-mail, persino cosa ama cucinare. Ma non può chiederle lo stato civile, la professione, la residenza o il titolo di studio.

Torna all'indice

 

  • Il secondo principio inedito, Privacy by Default, ha un impatto notevole sui sistemi informatici perchè prescrive una limitazione al periodo di conservazione dei dati. Quali sono le prassi corrette per rispettarlo?

 Privacy By default significa applicare automaticamente le misure tecniche e organizzative di protezione dei dati più rigorose per impostazione predefinita, cioè senza interventi specifici da parte degli utenti.

Partiamo con un esempio. Se avete la videosorveglianza, non potete conservare le immagini per più di 24 ore o 72 nel weekend, a meno che vi sia richiesto diversamente dall’autorità giudiziaria. Il compito della tecnologia, in questo caso, è automatizzare “per default” la cancellazione nei tempi previsti e impedire che le immagini possano essere recuperate successivamente. Oltre ovviamente, a garantire l’accesso solo a chi è autorizzato.

Vietato acquistare liste di marketing

Prima di disperarti, chiediti in quale scenario hai più probabilità di acquisire un nuovo cliente: 

Mandi e-mailing a migliaia di indirizzi scaricati dal web. Non sai se ti conoscono, e nemmeno se sono davvero potenziali clienti.

Scrivi solo ai pochi contatti dei quali hai già conquistato la fiducia perchè ti hanno dato il loro consenso. Nel tempo, la lista crescerà insieme alla tua reputazione.

Da questo concetto discende anche la limitazione temporale alla conservazione dei dati, che devono essere cancellati quando decade il motivo legittimo per il quale essi sono stati raccolti (fatti salvi gli eventuali altri obblighi di legge, come quelli fiscali). Questo mandato è scoraggiante per chi si occupa di marketing e ambisce a conservare all’infinito i contatti dei potenziali clienti, magari per inviare mailing massive. Per me, invece, è un’occasione imperdibile per ripulire le memorie da dati personali inutili o peggio obsoleti.

Superate questo piccolo psicodramma. Le piattaforme di e-mail marketing come la nostra, rilevano la mancata interazione dei contatti con le vostre comunicazioni. E, dopo un po', ve lo segnalano. A quel punto sarete voi a decidere dopo quanto tempo li cancellerete, mentre la “macchina” si occuperà di farlo automaticamente (se lo volete).

Privacy & e-mail marketing

Pericolosamente insieme

Una guida alle pratiche virtuose che devi adottare quando scrivi e invii e-mailing massive a clienti o potenziali.

Torna all'indice

 

  • Mi sembra che del DGPR tu veda soprattutto il bicchiere mezzo pieno, contrariamente ai più. Quale incoraggiamento vuoi dare ai nostri lettori?

Secondo me, la sfida non è la compliance di per sé, ma mantenerla vitale nel tempo, adeguando e migliorando sempre i processi, finchè non diventino parte della cultura aziendale. All’inizio può sembrare un’impresa titanica, soprattutto per le piccole imprese, ma i benefici sono chiari e diventeranno evidenti nel medio o lungo termine:

processi aziendali migliori, migliore reputazione, prevenzione del danno e di contenziosi con terze parti, ma anche consapevolezza dei propri diritti.

Abbiamo anche capito dai fatti di cronaca che il dato è l’oro nero di quest’epoca: non lasciamo questa opportunità solo ai giganti del web, e impariamo a sfruttarlo per creare relazioni trasparenti e rispettose, dalle quali arriveranno per forza anche opportunità di business.

Torna all'indice