Il Regolamento generale sulla protezione dei dati personali, GDPR, è, ormai da un po’ di tempo, il regolamento dell’Unione Europea con la quale tutti i soggetti, sia pubblici che privati, devono confrontarsi ogni giorno quando hanno la necessità di trattare dati personali. Questo importante tema è già stato aperto dalla direttiva comunitaria del 1995 e, in Italia, dalla legge 675/1996 seguita dal Codice del 2003.
Il GDPR conferma e rafforza i principi del precedente quadro normativo, il cui rispetto è condizione essenziale per garantire quello che la nuova architettura dell’Unione ha riconosciuto essere un diritto fondamentale, ossia la protezione dei dati personali. Il GDPR pone in capo a titolari e responsabili del trattamento responsabilità in misura molto superiore al passato, imponendo di predisporre per tempo i modi e le finalità dei trattamenti e contestualmente di costruirne adeguatamente l’impalcatura giuridica e organizzativa.
Per dimostrare la propria accountability, ossia dimostrare la propria responsabilità ed essere degni di fiducia, l’azienda, l’ente, il professionista deve fare tutto il possibile affinché i dati non cadano in mani sbagliate e per far questo si avvarrà dell’auditing, ossia il controllo sull’accesso ai dati personali.
Cos’è l’auditing
È un processo di valutazione, indipendente, della conformità dell’azienda sotto il profilo del trattamento dei dati personali, sia dal punto di vista elettronico e informatico che da quello cartaceo, da svolgersi periodicamente, con lo scopo di stabilire se i criteri prefissati dell’audit siano stati raggiunti o meno. Il GDPR contempla il fatto che l’audit possa venire effettuato i molti campi e si avvale della norma UNI EN ISO 19011, la quale specifica le linee guida dell’attività spaziando dai principi ispiratori dello stesso audit, dai sistemi e programmi di gestione, alle modalità con cui tale attività viene effettuata. È applicabile a qualsiasi azienda / ente / organizzazione che abbia l’esigenza di pianificare e condurre audit interni o esterni di sistemi di gestione.
Chi fa l’auditing
L’auditor è la persona deputata all’auditing:
- innanzitutto, deve avere le competenze dimostrate per svolgere tale ruolo: dovrà essere quindi un esperto di data protection sia a livello giuridico che informatico.
- non deve avere conflitti di interesse con l’oggetto dell’auditing, deve essere imparziale e non direttamente coinvolto nell’ente o nell’azienda oggetto di valutazione. Le informazioni relative all’audit non dovrebbero essere utilizzate impropriamente per vantaggi personali dell’auditor.
- non deve solamente dare prescrizioni circa l’adeguamento alla normativa vigente ma deve possedere una spiccata capacità comunicativa e di gestione delle risorse umane.
- deve possedere spirito di osservazione e la capacità di giungere tempestivamente a conclusioni basate sull’analisi e su ragionamenti logici.
Di cosa dobbiamo fare l’auditing
Ogni accesso a sistemi, informazioni e applicativi devono essere oggetto di audit. Inoltre, ogni modifica dei ruoli di sicurezza, delle identità e dei punti di connessione devono essere tracciate: occorre registrare gli accessi di tutti gli utenti ai sistemi e ai dati (security e audit logs) nonché le modifiche effettuate agli utenti; inoltre, tenere registro del maggior numero di informazioni rispetto al canale di accesso utilizzato (esempio indirizzo IP, geo localizzazione).
In particolare, risulta necessario un audit delle operazioni effettuate sugli utenti nel servizio di directory (Active Directory, OpenLDAP), ossia l’insieme di programmi che provvedono ad organizzare, gestire e memorizzare informazioni e risorse centralizzate e condivise all’interno di reti di computer; è consigliato (ma non obbligatorio) tener traccia dei dati di accesso ai firewall aziendali.
Poi, molta attenzione deve essere posta al programma applicativo affinché sia garantito un audit dell’accesso al dato in modo che sia possibile l’identificazione della persona che compia l’azione: questo requisito potrebbe richiedere una modifica al codice dell’applicativo non semplice. Riassumendo, occorre un buon processo di auditing che sia in grado di:
- registrare l’accesso ai sistemi che contengono i dati e gli applicativi, nonché ogni accesso ai dati protetti, includendo modalità e canale.
- tenere traccia di ogni modifica effettuata agli utenti autorizzati all’accesso ai dati e ogni modifica agli utenti amministrativi del dominio.
- registrare gli accessi esterni alla nostra rete; nonostante non sia obbligatorio, è una buona pratica.
Caratteristiche di un buon sistema di auditing
- Completezza: il dato non deve avere parti mancanti e deve contenere tutte le informazioni utili per cui è stato creato: la completezza è garantita dal sistema che genera l’audit log.
- Inalterabilità: il dato deve essere inalterabile in tutto il suo percorso dall’origine fino al suo arrivo: implica la crittografia nonché l’impossibilità di intervenire con modifiche sul dato raccolto.
- Integrità: il dato raccolto e successivamente processato deve mantenere la propria integrità in termini di completezza. La soluzione di auditing adottata deve garantire tecnologicamente l’integrità del dato raccolto, anche in presenza di possibili interventi rivolti a manipolare per qualche ragione il dato.
- Mantenimento: il dato deve essere mantenuto per un periodo prefissato dalla legge. La disposizione del Garante della Privacy italiano prevede un mantenimento di sei mesi.
Il report finale
Il processo dell’Audit prevede, alla sua conclusione, la raccolta e la verifica delle informazioni ottenute durante lo svolgimento dello stesso, prevede anche l’esame documentale nonché le indagini svolte ai referenti del processo. Le evidenze venute in possesso devono essere verificabili e ben documentate. I risultati e l’esito complessivo dell’audit possono portare a non conformità, osservazioni, raccomandazioni.
Essendo un processo molto delicato, l’auditing deve essere effettuato da personale qualificato. Nexsys, azienda informatica specializzata nell’informatica e nella consulenza, sa consigliarti al meglio, in modo da rendere la tua azienda conforme alla normativa europea, sia dal punto di vista legale, proponendo servizi di consulenza GDPR sia dal punto di vista tecnico, consigliandoti le migliori strategie per la sicurezza informatica.