Perché nel registro devono essere censiti gli asset informatici e le relative misure di sicurezza
11 Marzo 2020 in Governance Risk & Compliance As a Service - GRC360
Gli asset informatici dovrebbero rientrare nelle informazioni da inserire nel registro dei trattamenti, previsto dalla normativa europea GDPR, obbligatorio per la PA ma consigliato anche alle imprese private che effettuino il trattamento dei dati personali relativo alle persone fisiche.
Per ciascun trattamento indicato nel registro, vanno inserite diverse informazioni fra cui quelle sulla tipologia del trattamento, le finalità e la base giuridica, la categoria degli interessati e dei dati trattati, la categoria dei destinatari, gli eventuali trasferimenti verso Paesi terzi e le misure di garanzia adottate, i termini di conservazione.
Nel registro dovrebbero essere inserite inoltre, “ove possibile”, le informazioni relative alle misure di sicurezza. Per ogni trattamento, in ogni riga del registro, sarebbe opportuno indicare quali strumenti sono utilizzati per il trattamento e quali misure di sicurezza state sono prese. È vero che se si tratta di informazioni complesse e articolate che non avrebbe senso inserire in modo esteso nel registro; tuttavia per ottemperare allo spirito dell’articolo 30, è in ogni caso consigliabile specificare come vengono trattati i dati, con quali strumenti e con quali misure di sicurezza.
Il problema è come inserire le informazioni sugli strumenti utilizzati, fra cui gli asset informatici e, se presenti, anche gli archivi cartacei.
Il caso degli asset cartacei
Per meglio comprendere il problema, partiamo dall’esempio degli archivi cartacei che, se presenti, andrebbero inseriti nel registro, andando a specificare il luogo dove vengono conservati e come sono accessibili. Se ad esempio i CV dei candidati sono conservati in un armadio chiuso, va indicato chi è in possesso delle chiavi; se si trovano in un magazzino, va indicata l’accessibilità e l’eventuale presenza di una guardia con le chiavi; come pure se si trovano nell’ufficio del personale o presso un magazzino esterno. Va infine indicata l’eventuale presenza presso partner esterni, ad esempio cacciatori di teste che conservano i curriculum, o presso un fornitore. In tutti questi casi vanno indicati i processi di conservazione, la protezione e la procedura di accesso.
Censire gli asset informatici
Per gli asset informatici il meccanismo è analogo a quello sopra descritto.
Prendiamo in considerazione il caso di un trattamento tipico come paghe e contributi: si dovrà specificare con quali strumenti informatici è gestito, indicando il programma di elaborazione o il pacchetto utilizzato. Nel registro dei trattamenti non c’è la possibilità o lo spazio per indicare in dettaglio le applicazioni e le cartelle coinvolte, ma indicando le applicazioni utilizzate si rimanda a un riferimento esterno in connessione con il registro che, attraverso la mappa applicativa indica le infrastrutture a supporto. Per queste si dovrà precisare se si trovano in house, in cloud, se è prevista la gestione di un partner esterno. In base a quanto emerso dall’analisi del rischio (anch’essa non incorporata nel registro) per ogni trattamento, sulla base del rischio stimato, verranno indicate le misure di sicurezza appropriate.
Nel caso il rischio per i diritti e le libertà delle persone fisiche risulti elevato, sarà necessario elencare quali sono le misure di sicurezza individuate come necessarie per quel trattamento, come ad esempio la crittografia, l’accesso con password e token, ecc. In ogni caso dall’indicazione dello strumento utilizzato per quel trattamento e dalla mappa applicativa si confronteranno i requirement emersi dall’analisi del rischio con le misure effettivamente applicate.
In conclusione, da queste considerazioni dovrebbe emergere la risposta al perché nel registro devono essere presenti gli asset informatici, così come quelli cartacei, che devono essere censiti nel registro per rimandare a un riferimento esterno, all’analisi dei rischi e alla mappa applicativa in modo tale da verificare la congruenza fra le misure di sicurezza necessarie e quelle adottate.
Come semplificare l’inserimento nel registro degli asset informatici e delle relative misure di sicurezza?
Posto che dentro il registro e nei documenti correlati citati dovrebbero trovarsi le informazioni sugli asset informatici e delle relative misure di sicurezza, è consigliabile l’individuazione e l’adozione di uno strumento integrato e automatico per aiutare a gestire la problematica che risulterebbe altrimenti molto complessa.
Paolo Calvi – Data Protection Officer