Piano ispettivo semestrale del Garante privacy: focus sulle banche dati

Tre aspetti prioritari delle banche dati

Le banche dati, infatti, sono quasi vivisezionate con riguardo a tre aspetti centrali:

• verifica dei sistemi di sicurezza e profili di accessibilità delle banche dati stesse, mediante accertamenti relativi ai data breach che hanno coinvolto banche dati pubbliche di particolare rilievo e sensibilità;
• misure adottate per rilevare tempestivamente e/o prevenire le violazioni di sicurezza e connesso assolvimento dell’obbligo di segnalazione delle violazioni, con riguardo alle banche dati degli istituti di credito;
• utilizzo illegittimo di indirizzari e banche dati, con riguardo trattamento di dati effettuato da imprese che gestiscono call center e servizi di email marketing.

La gestione della sicurezza dei dati ha priorità strategica

Si può ritenere che l’attenzione del Garante, così come quella dell’Agenzia per la Cybersicurezza Nazionale (Acn), rifletta una serie di questioni che hanno reso questa tematica centrale tra cui:

• la graduale crescente articolazione e complessità del quadro normativo a livello europeo, come ad esempio le normative NIS 2 e DORA che implicano requisiti sempre più rigorosi per la sicurezza informatica;
• alcuni episodi allarmanti legati alla violazione di database, sia nel settore pubblico che in quello privato, pure agevolati da un deficit nella adeguatezza/ tempestività dei controlli sugli accessi;
• la consapevolezza che la protezione delle informazioni non rappresenti soltanto un obbligo legale, ma costituisce anche un elemento fondamentale della resilienza dell’ecosistema privacy di un Paese e per preservare la reputazione delle organizzazioni.

Questi elementi combinati hanno contribuito a rendere la gestione della sicurezza dei dati una priorità strategica, richiedendo azioni concrete e misure preventive da parte delle istituzioni e delleaziende.

Le linee guida dell’ACN

In questa materia, è importante l’input dell’Agenzia per la Cybersicurezza Nazionale (ACN), che lo scorso novembre ha messo a disposizione apposite linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio (“per contrastare il rischio di accessi abusivi, sia da parte di insider – insider threats – sia da minacce esterne”).

Queste Linee guida, rappresentano un riferimento base sugli snodi della sicurezza e le misure adottabili:

• controllo degli accessi (il principio del need to know: garantire che l’accesso a sistemi e banche dati sia ristretto al personale e alle utenze autorizzati e che ne hanno la necessità in virtù del loro ruolo);
• applicazioni di principi e buone pratiche di sviluppo sicuro dei sistemi e delle applicazioni (in sintesi, un appoccio security by design e by default non tralasciando la cautela che nessuna connessione, utente o sistema/applicazione possa considerarsi attendibile sino a quando non viene verificata: zero-trust security);
• gestione del ciclo di vita dei sistemi e delle applicazioni (sicurezza dei sistemi e delle applicazioni deve riguardare tutte le fasi del loro ciclo di vita, in ottica System Development Life Cycle che contempli una formale gestione delle vulnerabilità in ciascuna fase del ciclo);
• gestione rischi e sicurezza della catena di approvvigionamento (l’attenzione alla supply chain è essenziale ampliando il perimetro dei rischi – “involontari” o dolosi – e dovrebbe comprendere anche una periodica azione di audit nei loro confronti: complessità ulteriori di sicurezza si pongono nel caso di cloud specie se articolati nelle forme di hybrid e multi-cloud);
• monitoraggio e auditing (attività imprescindibili per la garantire la sicurezza dei sistemi e delle applicazioni, che dovrebbe partire dalla sicurezza fisica dei data center e completarsi con il monitoraggio di situazioni ritenute critiche per rilevare casi di utilizzo improprio delle banche dati);
• formazione del personale (una pre-condizione essenziale e necessaria per garantire resilienza, privacy, correttezza ed affidabilità dei sistemi e delle applicazioni).

Il documento, pur nella sua (apprezzabile) semplicità, per ogni manager costituisce una lettura consigliata, necessaria per maturare una consapevolezza dei rischi e interagire consapevolmente con le funzioni tecniche.

E nelle sue ispezioni il Garante potrebbe tenerne conto.

Il piano ispettivo del Garante per il primo semestre 2025

Alla luce di queste considerazioni, il piano ispettivo del Garante per la prima parte del 2025 rappresenta un impegno di tenore propulsivo per la protezione delle banche dati e gli esiti delle future ispezioni.

Le considerazioni saranno utili per focalizzare le buone (e le cattive) modalità tecnico-organizzative che permettono di perseguire una sostanziale compliance.

Inoltre la pubblicazione del piano ispettivo ha una valenza pedagogica incentivando un innalzamento dell’attenzione dei titolari.

Consigli ai system owner di processi basati su sistemi IT (a prescindere dai dati trattati)

Un primo “semplice” suggerimento è quello di avvalersi delle Linee guida dell’ACN per verificare se il relativo elenco delle misure di sicurezza sia garantito o meno e vagliare le eventuali scoperture su cui agire.

Inoltre occorrerebbe monitorare e approfondire gli eventi critici più rilevanti (i cigni neri ritenuti meno probabili), come per esempio il documento di SektorCERT sul massivo attacco nel 2023 alle infrastrutture critiche danesi, incentrato su vulnerabilità dei firewall e favorito anche da carenze (pure gestionali) nel patching e nell’IT assett management.

Ma, con valenza anche formativa per la compagine, sarebbe utile anche procedere almeno con un self-assessment che – nel caso si trattino dati personali – simuli:

• un accesso ispettivo del Garante incentrato anche solo su aspetti basici di tenore documentale (in primis: registro dei trattamenti e dei data breach, valutazioni d’impatto e informative);
• di processo (per esempio, raccolta dei consensi, procedure operative definite, gestione dei rapporti con fornitori);
• e di sicurezza (misure a protezione dei data center, del perimetro dei sistemi IT, per arrivare a un coerente sistema di logging e monitoring).

Diversi i soggetti che potrebbero essere coinvolti, in cooperazione fra loro: dal DPO all’internal auditing, dalla funzione di sicurezza fisica a quella IT.
Analogamente potrebbero essere utili campagne interne simulate di phising per innalzare la sensibilità della compagine.