Cosa serve alle imprese per conformarsi al Gdpr?

Small Business Standards, associazione che rappresenta gli interessi delle PMI a livello internazionale, ed European DIGITAL SME Alliance, la maggiore rete europea di PMI digitali, hanno redatto una guida31 per aiutare le aziende di ridotte dimensioni ad au- mentare le proprie difese informatiche in maniera economicamente efficiente. Le due associazioni suggeriscono alle PMI una serie di controlli minimi indispensabili a proteg- gere le proprie informazioni e a conformarsi al GDPR.

La guida parte da una definizione: “Le informazioni sono un insieme di dati interpreta- bili che, all’interno di un dato contesto, hanno un significato e un valore. Per garantire e migliorare questi dati di valore, l’interpretabilità e il contesto devono essere preser- vati e tutelati”. Le informazioni servono ad aumentare conoscenze e competenze, ad adottare decisioni efficaci, ad agire per realizzare degli obiettivi e a misurare i risultati raggiunti. Un’azienda che non sia in possesso di informazioni affidabili, dunque, è di fatto paralizzata: pertanto, dovrebbe prestare massima attenzione alla riservatezza dei dati (per impedire che finiscano in mano a soggetti malevoli), alla loro integrità (per evitare che vengano alterati, compromettendone l’affidabilità) e alla loro disponibilità (per assicurarsi che siano disponibili e raggiungibili in caso di necessità). “Riservatez- za, integrità e disponibilità vengono da molto tempo considerate come i tre principali criteri per garantire la sicurezza delle informazioni”, si legge. Il rispetto delle regole sul trattamento dei dati è dunque una priorità per le PMI, anche considerando le sanzioni previste in caso contrario.

L’importanza del GDPR

Il GDPR, in particolare, impone una gestione controllata delle Informazioni di identifi- cazione personale – quelle che riguardano il personale della PMI, i suoi clienti e i suoi fornitori – a partire dal momento in cui il nome di una persona viene associato a qual- cos’altro. In quest’ambito sono applicabili i due standard di riferimento sulla sicurezza delle informazioni, l’ISO/IEC 27001 (Sistema di gestione della sicurezza delle informa- zioni) e l’ISO/IEC 27002 (Codice di pratica per la gestione della sicurezza delle informa- zioni), integrati dall’ISO/IEC 27701, che è dedicato espressamente alle Informazioni di identificazione personale. Ciascuna PMI europea, dovendo trattare dati personali per funzionare, deve porsi il problema della conformità al GDPR.

Al di là del rischio sanzionatorio, però, per una PMI l’adozione di tecnologie dell’infor- mazione per innovare e ottimizzare i processi produttivi o la fornitura di servizi è stra- tegica ai fini dell’allineamento alla rivoluzione industriale digitale. In questo senso, la cybersicurezza diventa un asset cruciale ai fini della continuità e della sopravvivenza stessa dell’azienda. Proteggere la riservatezza, l’integrità e la disponibilità delle informazioni in possesso, dunque, non garantisce solo il rispetto dei livelli di sicurezza previ- sti dal GDPR, ma tutela anche lo sviluppo e la competitività nel futuro.

D’altra parte, anche Small Business Standards ed European DIGITAL SME Alliance ri- conoscono che l’implementazione dei centoquattordici controlli per la conformità di cybersicurezza previsti dallo standard ISO/IEC 27002 potrebbe rivelarsi complesso e costoso da implementare per molte PMI. La guida, pertanto, si concentra su sedici con- trolli ritenuti essenziali per una politica minima in materia di protezione dei dati che sia efficace.

I controlli selezionati – simili, nella sostanza, alle linee guida dell’ENISA già viste – sono i seguenti: consapevolezza in materia di sicurezza delle informazioni; ge- stione degli asset (compresa la procedura di classificazione); politiche, standard e linee guida; gestione degli incidenti; aspetti di sicurezza delle informazioni in relazione ai for- nitori; organizzazione della sicurezza delle informazioni; ulteriori controlli sulla privacy; gestione del controllo degli accessi; sicurezza di rete e scambi di dati; gestione delle vulnerabilità; protezione contro i malware; gestione dei backup; gestione delle misure di salvaguardia; prontezza ICT per la continuità operativa; lavoro a distanza; monito- raggio delle minacce informatiche.

La guida stessa riconosce tuttavia che un’implementazione efficace del controllo della sicurezza è impossibile senza una strategia solida alla base e senza obiettivi chiari in materia di sicurezza. Gli standard, infatti, si concentrano su ciò che un’azienda deve fare, ma non sul come debba farlo. Sono necessarie, dunque, conoscenze specialistiche che permettano l’attuazione della strategia, seguendo procedure misurabili attraverso il modello COBIT. Il COBIT (sigla che sta per “Obiettivi di controllo per le informazioni e le tecnologie correlate”) è un modello per la governance e la gestione delle informazio- ni e delle tecnologie aziendali, comprese le problematiche di sicurezza, rivolto all’intera impresa.

Stabilisce una netta distinzione tra governance e gestione: la prima è quel- la che garantisce, ad esempio, che le direttive aziendali vengano stabilite attraverso la definizione di priorità, e che le prestazioni vengano poi monitorate sulla base degli obiettivi concordati; la gestione, invece, pianifica e gestisce le attività. Applicare una metodologia COBIT alla sicurezza informatica permette di raggiungere una maggio- re efficienza di costo attraverso l’integrazione degli standard di sicurezza, delle buone pratiche e delle linee guida specifiche.

Il ruolo del cloud per il rispetto del GDPR

Il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea tutela il diritto fondamentale alla privacy e alla protezione dei dati personali di ogni individuo. Il GDPR include i rigorosi requisiti che definiscono e armonizzano gli standard in materia di protezione, sicurezza e conformità dei dati.

Un cloud provider come AWS copre il ruolo di responsabile del trattamento dei dati quando i clienti utilizzano i servizi AWS per elaborare i dati personali nei contenuti che caricano sui servizi AWS. I clienti potranno utilizzare i controlli resi disponibili dai servizi AWS, ad esempio i controlli di configurazione della sicurezza, per la gestione dei dati personali. In tali circostanze, il cliente potrà ricoprire il ruolo di titolare o responsabile del trattamento dei dati, mentre AWS sarà il responsabile o il sub-responsabile del trat- tamento. AWS offre un “Addendum AWS sul trattamento dei dati del GDPR (DPA)” che incorpora gli impegni di AWS in qualità di responsabile del trattamento dei dati. Il DPA del GDPR di AWS, che include Clausole contrattuali standard, fa parte dei Termini di servizio AWS ed è automaticamente disponibile per tutti i clienti che ne hanno bisogno per essere conformi al GDPR.

Quando AWS raccoglie dati personali e determina le finalità e le modalità per il loro trattamento – ad esempio, quando AWS archivia le informazioni dell’account (es. indi- rizzi e-mail forniti durante la registrazione dell’account) necessarie per la registrazione e l’amministrazione di un account, l’accesso ai servizi o le informazioni di contatto per l’account AWS per fornire assistenza tramite il servizio clienti – agisce da titolare del trattamento dei dati. In tutti i casi viene resa disponibile l’Informativa sulla Privacy di AWS per ulteriori dettagli sul modo in cui AWS tratta i dati personali in qualità di Tito- lare del trattamento.

È importante sottolineare che i clienti che utilizzano il cloud di AWS hanno il pieno con- trollo dei propri dati, in quanto essi possono: stabilire dove archiviare i propri dati, se- lezionando anche il tipo di archiviazione e la loro regione geografica di residenza (dalla quale regione non saranno spostati); scegliere l’opportuno livello di sicurezza dei dati, ad esempio utilizzando una solida crittografia per i dati sia in transito sia inattivi e aven-do la possibilità di gestire le proprie chiavi di crittografia personali; gestire l’accesso ai propri dati e ai servizi e risorse di AWS mediante utenti, gruppi, autorizzazioni e creden- ziali sotto il loro pieno controllo.

Ancora in questo ambito, AWS ha pubblicato il white paper Navigazione nella conformi- tà ai requisiti di trasferimento dei dati dell’UE34, dove fornisce informazioni sui servizi e le risorse che AWS offre ai clienti per aiutarli a effettuare valutazioni sul trasferimento dei dati alla luce della decisione Schrems II e alle seguenti Raccomandazioni del Comitato europeo per la protezione dei dati (EDPB). Il white paper descrive anche le misure sup- plementari principali adottate e rese disponibili da AWS per proteggere i dati dei clienti. Infine, la partecipazione attiva di AWS a un Codice di condotta come il CISPE garan- tisce alle organizzazioni che i loro fornitori di servizi infrastrutturali cloud soddisfino i requisiti applicabili ai dati personali processati nell’ambito del GDPR. Questo fornisce ai clienti del cloud un’ulteriore sicurezza di poter scegliere servizi che sono stati verificati in modo indipendente per la loro conformità con il GDPR.

In questo ambito, a novembre 2022, AWS ha portato a cento il numero dei suoi servi- zi cloud che sono conformi al Codice di condotta CISPE per la protezione dei dati. CISPE (Cloud Infrastructure Services Providers in Europe) è l’associazione dei principali fornitori di servizi di cloud computing che serve milioni di clienti in Europa. Il Codice37 di condotta CISPE per la protezione dei dati (Codice CISPE) è il primo codice di condotta pan-europeo per la protezione dei dati incentrato sui fornitori di servizi infrastrutturali cloud. Il Codice CISPE è stato approvato Comitato38 europeo per la protezione dei dati, che agisce per conto di 27 autorità per la protezione dei dati in tutta Europa ed è sta- to adottato formalmente dall’Autorità francese per la protezione dai dati (CNIL), che opera in qualità di principale autorità di vigilanza. Nel 2017 AWS ha annunciato la sua conformità con una versione precedente del Codice CISPE.

Il codice CISPE

Il Codice CISPE aiuta i clienti a garantire che il proprio fornitore di servizi infrastrutturali cloud offra adeguate garanzie operative per dimostrare la conformità al GDPR e pro- teggere i dati dei clienti. Alcuni vantaggi chiave del codice CISPE includono:

• Incentrato sull’infrastruttura cloud: chiarisce il ruolo del fornitore di servizi infrastrut- turali cloud ai sensi del GDPR per quanto riguarda il trattamento dei dati del cliente, ovvero qualsiasi dato personale elaborato per conto del cliente utilizzando il servizio di infrastruttura cloud.
• Dati in Europa: richiede ai fornitori di servizi infrastrutturali cloud di offrire ai clienti la possibilità di utilizzare servizi per archiviare ed elaborare i dati dei clienti esclusiva- mente all’interno dello Spazio economico europeo (SEE).
• Privacy dei dati: il Codice CISPE garantisce alle organizzazioni che i loro fornitori di servizi infrastrutturali cloud soddisfino i requisiti applicabili ai dati personali proces- sati per conto loro (dati dei clienti) nell’ambito del GDPR.

  Oltre alla conformità al codice di condotta CISPE per la protezione dei dati, AWS offre ai clienti informazioni utili quali report di conformità provenienti da enti di controllo di terza parte, che hanno verificato lo stato di conformità secondo diversi standard e normative di sicurezza informatica, per documentare gli elevati livelli di conformità mantenuti da AWS per la propria infrastruttura. Questi report mostrano ai clienti che vengono protetti i dati personali che scelgono di elaborare in AWS. Ne sono esempio la conformità di AWS alle norme ISO 27001, 27017, 27018 e 27701. In particolare, la confor- mità di AWS alla norma ISO 27018 evidenzia che AWS dispone di un sistema di controlli rivolto specificatamente a proteggere la privacy dei contenuti affidati dai clienti. Inve- ce, la norma ISO/IEC 27701 specifica i requisiti e le linee guida per stabilire e migliorare continuamente il sistema di gestione delle informazioni sulla privacy (PIMS), incluso il trattamento delle informazioni di identificazione personale (PII). È un’estensione de- gli standard ISO/IEC 27001 e ISO/IEC 27002 per la gestione della sicurezza delle infor- mazioni che fornisce una serie di controlli aggiuntivi e linee guida associate destinati a soddisfare i requisiti di gestione dei PIMS e delle PII del cloud pubblico per processori e controller, non risolti dal set di controllo ISO/IEC 27002 esistente. La conformità di AWS a questo codice di condotta riconosciuto a livello internazionale, comprovata da una valutazione indipendente di terze parti, dimostra l’impegno di AWS nei confronti della privacy e della protezione dei contenuti dei clienti.

L’allineamento a norme quali ISO 27018 e ISO 27701 dimostra ai clienti che AWS dispone di un efficace sistema di gestione delle informazioni sulla privacy (PIMS) per supportare la conformità al Regolamento generale europeo sulla protezione dei dati (GDPR) e ad altre normative sulla privacy dei dati. L’allineamento di AWS a questi standard, in ag- giunta alla valutazione indipendente da parte di terzi di questi codici di condotta ricono- sciuto a livello internazionale, dimostra l’impegno di AWS per la privacy e la protezione dei contenuti dei clienti e garantisce la conformità alle legislazioni internazionali e locali sulla privacy.