Compliance legal-cybersecurity alla luce del “provvedimento Rousseau”

 

Introduzione

Il Garante per la protezione dei dati personali con provvedimento n. 83 del 4 aprile 2019 ha comminato all’Associazione Rousseau, quale responsabile del trattamento, una sanzione di euro 50.000 ex art. 83, paragrafo 4, lettera a) del Regolamento UE 2016/679 (d’ora in avanti “GDPR” O “Regolamento”), per la violazione dell’art. 32 del GDPR riguardante la sicurezza del trattamento.

L’art. 32 sancisce che “1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.”

Occorre evidenziare come il provvedimento in commento derivi dalle prescrizioni contenute nel provvedimento n. 548 del 21 dicembre 2017, con il quale l’Autorità dopo aver accertato l’avvenuta violazione dei dati personali relativa alla c.d. “piattaforma Rousseau”, aveva richiesto una revisione delle misure di sicurezza implementate a protezione del trattamento del sistema di e-voting.

 

L’iter sanzionatorio

La verifica dell’Autorità si è basata sia sulle informazioni acquisite tramite l’analisi tecnica avvenuta in sede ispettiva sia sull’analisi della documentazione pervenuta a seguito dei provvedimenti di proroga del 16 maggio e 4 ottobre 2018.

È da rilevarsi come l’Autorità abbia ritenuto che lo stato della sicurezza dei trattamenti sia migliorato nel suo complesso ma come siano residuate delle vulnerabilità tali da inficiare i suddetti miglioramenti. Inoltre, le vulnerabilità riscontrate sono tali da non consentire all’Autorità di considerare completato l’adempimento alle prescrizioni del provvedimento del 21 dicembre 2017.

È necessario, al fine di inquadrare la ratio del provvedimento in commento, ripercorrere l’iter istruttorio relativo alla verifica dell’adempimento del provvedimento n.  548 del 21 dicembre 2017.

Durante l’estate del 2017, a seguito della violazione avvenuta su diversi siti web relativi al Movimento 5 Stelle, l’Autorità Garante ha prescritto l’adozione di misure di sicurezza adeguate al fine di rendere i trattamenti svolti tramite i siti internet compliant alla disciplina in materia di protezione dei dati personali.

Le prescrizioni non concernenti i profili di sicurezza informatica erano state tempestivamente riscontrate dai titolari del trattamento, sia per quanto riguarda la riformulazione delle informative, sia per quanto riguarda la designazione a responsabile del trattamento. Da un punto di vista informatico, invece, è da rilevarsi come, nelle more degli adempimenti relativi alle carenze riscontrate in termini di sicurezza, la titolarità del trattamento sia transitata da Giuseppe Piero Grillo all’Associazione Movimento 5 Stelle, e come il sito, sul quale la violazione dell’estate del 2017 aveva avuto luogo, si sia trasformato da una piattaforma di e-voting ad un blog personale, senza che sia più consentita la creazione di account e la possibilità di inviare dati personali tramite lo stesso. L’Autorità Garante, preso atto di questa trasformazione, ha ritenuto di escludere il sito www.beppegrillo.it dall’esame, concentrandosi sulle criticità della c.d. “piattaforma Rousseau”, ovvero l’infrastruttura informatica sulla quale si estrinseca l’attività politica del Movimento 5 Stelle e dei suoi iscritti.

L’Autorità, “data la complessità e la delicatezza delle banche dati interessate”, ha concesso due proroghe all’Associazione Rousseau, responsabile del trattamento, per adeguarsi alle prescrizioni del provvedimento n. 548. Alla scadenza del termine ultimo per il completamento delle operazioni, l’Autorità ha analizzato lo stato di adempimento delle prescrizioni impartite rilevando persistenti criticità.

 

Il contenuto del provvedimento

All’interno del provvedimento n. 83 del 4 aprile 2019, al paragrafo 2, l’Autorità riporta una descrizione sintetica di quanto prescritto con il provvedimento n. 583 del 2017 e di come l’Associazione Rousseau abbia attuato tali prescrizioni.

Per quanto riguarda il paragrafo 2 lett. A, l’Autorità Garante tramite il provvedimento n. 583 aveva prescritto all’Associazione Rousseau la conduzione di attività di vulnerability assessment. Tali attività risultano presenti come misure di mitigazione dei rischi nella norma ISO/IEC 27001, Annex A.12.6.1, e di conseguenza in linea con l’adozione di misure tecniche e organizzative volte a ridurre il rischio ex art. 32 GDPR. La norma ISO/IEC 27001 delinea come sia necessaria la rimozione delle vulnerabilità tecniche implementando appropriate misure che possano impattare sul rischio. L’attività di vulnerability assessment è stata condotta dall’Associazione Rousseau solo parzialmente in quanto l’Autorità ha rilevato l’obsolescenza dei sistemi in uso. Tale obsolescenza implica la presenza di vulnerabilità note e non correttamente risolte dal responsabile del trattamento. L’autorità, inoltre, specifica nel paragrafo 3.1 del provvedimento in esame, come tale sistema obsoleto sia il Content management system (“CMS”) tramite il quale vengono gestiti i siti web del Movimento. L’obsolescenza di cui trattasi, inoltre, non riguarda il mancato aggiornamento del CMS ma il raggiungimento della End of Life del prodotto stesso, che non risulta più aggiornabile dal 31 dicembre 2013. Si rammenta come già l’abrogato allegato B del D.Lgs. 196/2003 prescrivesse che “gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale”. Il Regolamento, come noto, si fonda sul principio dell’accountability (c.d. “responsabilizzazione”), consistente nell’obbligo per il titolare del trattamento di adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati, nonché nella necessità di dimostrare ciò sia su richiesta sia nell’esperire il trattamento. Pertanto, le misure minime di sicurezza contenute nell’ex Allegato B, che invece dettava direttamente alcune misure minime alle quali il titolare del trattamento doveva uniformarsi, non estendendosi più a tutti i contesti e tutti i settori, possono comunque ritenersi una base di partenza per il rispetto del principio di accountability e per garantire la sicurezza del trattamento.  L’isolamento e/o la dismissione di sistemi non più sottoposti all’aggiornamento da parte dei produttori, pertanto, è una misura di sicurezza la cui implementazione risulta basilare in termini di accountability.

Relativamente ai punti 2.B, 2.C e 2.D del provvedimento in commento, si segnala come l’Autorità ritiene completato l’adeguamento alle prescrizioni contenute nel provvedimento n. 548 del 21 dicembre 2017, in quanto l’Associazione Rousseau ha provveduto a rimediare alle debolezze rilevate nella procedura di creazione degli account, nell’adozione di protocolli di rete sicuri, nella protezione tramite crittografia delle password di accesso ai servizi online.

Occorre sottolineare come nel paragrafo 2.E, invece, l’Autorità segnala come le misure di auditing sul database del Sistema Rousseau non risultino correttamente implementate, rilevando la non conformità al provvedimento generale del Garante del 27 novembre 2008 riguardante la figura degli Amministratori di Sistema. Il provvedimento, infatti, prosegue al paragrafo 2.1, dettagliando come l’adozione degli strumenti di auditing, ovvero di software di operational intelligence che sia in grado di generare log completi, inalterabili, passibili di verifica di integrità e conservati per almeno sei mesi, sia stata la ragione della proroga del termine di adempimento. L’Autorità ha avuto modo di verificare la presenza di log applicativi, paragrafo 2 punto 1.a) del provvedimento, ma non ha riscontrato la produzione di log relativi agli accessi sui database. Come descritto nel punto 2.1.B del provvedimento, è stato rappresentato come tali accessi possano avvenire tramite due modalità, una che riguarda l’accesso da remoto del subresponsabile del trattamento, società informatica che si occupa di gestione sistemistica, una invece che riguarda l’accesso tramite l’interfaccia web di gestione del DBMS utilizzata dal personale dell’Associazione Rousseau stessa. Tale seconda modalità non consente al responsabile del trattamento il tracciamento degli accessi sul database, pertanto l’Associazione ha dichiarato la sua intenzione di rimuovere il tool tramite il quale si espleta tale seconda modalità in favore di strumenti che sfruttino il protocollo SSH e che possano garantire il tracciamento richiesto dal Provvedimento Generale del 27 novembre 2008. I punti 2.1.C e 2.1.D riguardano la presenza di un sistema di event management che raccoglie e correla i log prodotti e come tali log siano conservati per il tempo necessario e adeguatamente protetti. Per quanto riguarda il punto 2.1.E del provvedimento in commento, l’Autorità ha rilevato la presenza di credenziali condivise tra gli amministratori di sistema del sito internet e della piattaforma di e-voting. Tale condivisione risulta tale da inficiare a monte la possibilità di risalire alle operazioni compiute dagli amministratori di sistema. Ciò rappresenta un rischio non mitigato dal responsabile del trattamento ed ha condotto l’Autorità a produrre ulteriori considerazioni ed a comminare la sanzione di cui sopra, come si vedrà più avanti.

Nel paragrafo 3 del provvedimento l’Autorità formula delle considerazioni su quanto rilevato e descritto nel paragrafo 2. Per quanto riguarda l’attività di vulnerability assessment di cui al paragrafo 3.1 del provvedimento in esame, le considerazioni dell’Autorità sono state descritte precedentemente. In relazione al contenuto del paragrafo 3.2 relativo alle misure di sicurezza a protezione degli account della piattaforma, è d’uopo segnalare come l’Autorità abbia considerato che le prescrizioni siano state sostanzialmente adempiute. Nel paragrafo 3.3 e 3.5 l’Autorità descrive come l’assenza di capacità di verifica ex post relativa alle operazioni compiute dagli amministratori di sistema e la condivisione delle loro credenziali con l’annessa conseguente incoerenza tra profili di autorizzazione, esponga il sistema a potenziali rischi di violazione dei dati personali. Il provvedimento fa riferimento al sistema normativo previgente per sottolineare come nell’Allegato B del D.Lgs. 196/2003 fossero già contenute disposizioni relative all’utilizzo di credenziali di autenticazione da assegnare esclusivamente a singoli incaricati e alla definizione di differenti profili di autorizzazione per limitare l’accesso ai soli dati necessari per le operazioni di trattamento, evidenziando, come già precedentemente accennato, che anche nell’ottica accountability le misure di sicurezza contenute nell’abrogato Allegato B siano da considerarsi misure minime per garantire la sicurezza del trattamento ex art. 32 GDPR.

Nel paragrafo 3.4, le cui evidenze sono descritte nel paragrafo 2.2 del provvedimento in commento, l’Autorità affronta il tema della riservatezza delle operazioni di voto elettronico.

L’Autorità, al paragrafo 8.2 del provvedimento n. 548 del 21 dicembre 2017, aveva prescritto l’adozione di misure opportune quali cancellazione o anonimizzazione dei dati personali trattati una volta terminate le operazioni di voto. Nonostante l’Associazione Rousseau avesse dichiarato come tale misura fosse stata implementata, durante lo svolgimento dell’attività ispettiva è stata rilevata l’esistenza di una tabella di database contenente le informazioni di voto e il numero di cellulare e ID del soggetto votante. La presenza della suddetta tabella, unitamente a quanto rilevato in termini di assenza di misure adeguate di auditing e della commistione tra le credenziali degli amministratori di sistema, sono da considerarsi carenze gravi da un punto di vista tecnico e organizzativo, tali da inficiare la sicurezza del trattamento e il mancato rispetto delle caratteristiche fondamentali che una piattaforma di e-voting dovrebbe possedere sulla base degli standard internazionali.

Il paragrafo 4 del provvedimento in commento contiene le valutazioni conclusive dell’Autorità. Sulla scorta delle considerazioni svolte nel paragrafo 3, il Garante ingiunge all’Associazione Movimento 5 Stelle e all’Associazione Rousseau quale responsabile del trattamento di assegnare account personali con relativa separazione dei profili di autorizzazione agli amministratori di sistema, di completare l’adozione delle misure di auditing di cui sopra, di aggiornare il CMS e procedere alla redazione di un Data Protection Impact Assessment relativo alla piattaforma di e-voting.

In seguito, nel paragrafo 4.2, il Garante in osservanza a quanto sancito dall’art. 32 GDPR ha accertato:

  • il mancato completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute che configura la violazione di quel generale dovere di controllo sulla liceità dei trattamenti gravante sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima; ciò sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché delle funzionalità che le caratterizzano;
  • la condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività, che nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza a carico dei titolari del trattamento. In tal caso, quindi si configura una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate.

 

Elementi di compliance

Una delle misure che il provvedimento del Garante relativo alla figura degli Amministratori di Sistema richiede di adottare riguarda gli strumenti di audit ovvero la produzione e conservazione dei file di log di cui al paragrafo 2.E del provvedimento del 4 aprile 2019.

Il titolare del trattamento deve adottare soluzioni per il logging degli accessi degli amministratori di sistema che dispongano delle caratteristiche di completezza, inalterabilità, passibili di verifica di integrità e mantenuti per almeno sei mesi, su tutti i sistemi sui quali gli amministratori accedono.

Occorre dettagliare in cosa consistano le caratteristiche dei log summenzionate che garantiscono la conformità al provvedimento. I log dovranno essere completi, ovvero il sistema di logging dovrà tener traccia di ogni azione per cui è stato configurato, i log dovranno contenere il timestamp e i dettagli relativi alla macchina dalla quale si è operato l’accesso e la disconnessione. Per quanto riguarda l’inalterabilità, occorre notare che i log non devono essere modificabili o cancellabili, in quanto tale azione invaliderebbe anche la proprietà di completezza del log. La verifica dell’integrità da parte del software di operational intelligence può essere manuale, ovvero su richiesta di un amministratore di sistema o di un altro incaricato con adeguato profilo autorizzativo, oppure può avvenire costantemente in background, segnalando con appositi alert l’avvenuto rilevamento di log corrotti.

Per quanto riguarda la presenza di credenziali condivise e di profili autorizzativi non ben definiti, è consigliabile che le utenze siano individuali e associate ad uno o più profili di autorizzazione. Al fine di una corretta implementazione di tali misure di sicurezza potrebbe essere necessario che l’autenticazione venga gestita in maniera centralizzata, ad esempio mediante un sistema IAM (Identity and Access Management). Risulta di particolare efficacia porre in essere meccanismi di adaptive authentication. L’adaptive authentication è una modalità di autenticazione che consiste nella possibile configurazione e implementazione dell’autenticazione a due fattori o l’autenticazione a più fattori. È un metodo per selezionare i giusti fattori di autenticazione in base al profilo di rischio e alle tendenze di un utente per adattare il tipo di autenticazione alla situazione concreta. I profili autorizzativi dovrebbero essere assegnati secondo il principio del need to know e del least privilege. Il principio del need-to-know è definibile come la capacità di un utente di entrare in contatto con il minor numero di informazioni strettamente necessarie all’elaborazione dei processi di cui è parte o utili all’espletamento della mansione a cui l’utente è assegnato. Tale principio risulta giuridicamente rilevante ex art. 5 p.3 lett. c) GDPR poiché perfettamente aderente al requisito della minimizzazione dei dati. Il principio di least privilege non riguarda strettamente l’accesso ai dati ma i permessi relativi alle operazioni che con quei dati è possibile compiere ed è utile per raggiungere lo scopo di garantire la riservatezza di cui all’art. 32 p.1 lett. b) GDPR. I due principi, inoltre, dovrebbero essere presi in considerazione nella redazione di un processo formalizzato per la creazione di un’utenza con privilegi elevati quali utenze da amministratore di sistema al fine di perimetrare correttamente gli accessi e i permessi dei dipendenti con le mansioni operativamente più elevate.

 

Conclusioni

In conclusione, è d’uopo rilevare la presenza di diversi elementi di novità all’interno del provvedimento in esame.

Per arginare le minacce relative alla sicurezza informatica e, più in generale, garantire la sicurezza dei dati personali da parte dei titolari e responsabili del trattamento, sino al 19 settembre del 2018 è esistito il “Disciplinare tecnico in materia di misure minime di sicurezza” nell’Allegato B al D.Lgs. 196/2003. Il D.Lgs 101/2018, nell’adeguare il D.Lgs 196/2003 alle disposizioni del GDPR, ha dovuto tenere in considerazione la circostanza che il D.Lgs 196/2003 e il GDPR stesso hanno un approccio al tema della protezione dei dati, soprattutto nell’ambito della sicurezza informatica, particolarmente differente l’uno dall’altro. Il Regolamento sancisce il principio di accountability ex art. 24 GDPR, consistente nell’obbligo per il titolare del trattamento di adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati, nonché nella necessità di dimostrare ciò sia su richiesta sia nell’esperire il trattamento. L’Allegato B, invece, a suo tempo, obbligava direttamente all’implementazione di alcune misure minime con un approccio “checklist-based” particolarmente distante dall’approccio “risk-based” delineato nel Regolamento dall’art. 32 GDPR.

L’Autorità Garante, con il provvedimento in commento, ha inteso chiarire come le misure contenute all’interno dell’allegato B siano in ogni caso da considerarsi “minime” anche in termini di accountability. L’elemento di novità riguarda perciò la possibilità per il titolare o il responsabile del trattamento di individuare delle misure di mitigazione alternative a quanto contenuto all’interno dell’Allegato B del D.Lgs. 196/2003, che siano in egual misura finalizzate alla riduzione dei rischi valutati. Nel caso in cui si riscontrasse la mancata implementazione di misure derivanti da un processo di analisi dei rischi in applicazione dell’art. 32 GDPR, l’assenza delle misure minime di sicurezza ex Allegato B D.Lgs. 196/2003 potrebbe essere considerata come violazione dell’art. 32 stesso, assurgendo de facto a base dalla quale partire per mettere in sicurezza il trattamento dei dati personali. Occorre analizzare come le motivazioni che hanno condotto l’Autorità a comminare la sanzione ex art. 83.1 siano infatti strettamente correlate al rispetto da una parte di quanto contenuto nell’Allegato B e dall’altra al rispetto del provvedimento generale sugli amministratori di sistema del 27 novembre 2008. In questo senso assistiamo ad una vera e propria rinascita di quanto predisposto dal Garante nel primo decennio del nuovo millennio, una rinascita che non comporta ciò che più attenti commentatori, in relazione all’entrata in vigore del D.Lgs. 101/2018, hanno definito “effetto-zombie”, bensì si è in presenza di un “effetto-fenice”, in quanto l’Allegato B è in grado di riemergere dalle ceneri della propria abrogazione per assurgere a base sulla quale si fonda la sicurezza del trattamento ex art. 32 GDPR.

Altro elemento di particolare rilevanza risulta essere quello relativo alla dimostrazione della compliance al Regolamento da parte di un titolare o responsabile del trattamento. Il rischio sanzionatorio, alla luce del provvedimento in commento, non può essere più mitigato esclusivamente dalla formalizzazione di policy e procedure, dalla presenza delle nomine e delle informative, dalla perimetrazione dei contratti. Gli elementi di sicurezza informatica, che compongono le modalità tramite le quali il trattamento è protetto, risultano il primo ed evidente segnale di adesione ai principi del Regolamento, la vetrina del rispetto delle norme sulla protezione dei dati personali, l’avamposto della compliance. Il provvedimento del 4 aprile 2019 si può considerare il primo passo verso una fase nella quale i processi di compliance alle norme relative alla protezione dei dati personali non possono più prescindere da una sintesi tra profili giuridici ed elementi di sicurezza informatica e dalla concretizzazione in termini cybersecurity di quanto prescritto dal legislatore.