to dell’arte ai costi di attuazione, alla
natura, all’oggetto, al contesto e alle
finalità del trattamento stesso, come
anche al rischio di varia probabilità e
gravità per i diritti e le libertà delle
persone fisiche,
Al fine di quanto ci occupa rileva se-
gnatamente quanto previsto dalla let-
tera d) del primo comma del richia-
mato articolo 32 che espressamene
obbliga sia ilTitolare sia il Responsabile,
congiuntamente anche sotto il profilo
delle eventuali responsabilità per l’i-
nosservanza, a mettere in atto: proce-
dure per testare, verificare e valutare
regolarmente l’efficacia delle misure
tecniche e organizzative al fine di ga-
rantire la sicurezza del trattamento.
In forza della norma da ultimo citata,
quindi, ilTitolare e il Responsabile non
dovranno né potranno limitarsi a una
mera applicazione statica di misure di
sicurezza, tecniche ed organizzative
ma, al contrario, non potranno che
intendere l’adempimento del dovere
di sicurezza alla stregua di un processo
ricorsivo verosimilmente basato sullo
schema ‘Plan Do Check Act’ in cui il
momento dell’assessment si configura
come valutazione dell’efficacia e as-
surge al ruolo di elemento primario
dell’attuazione stessa.
Ethical hacking e GDPR
Vediamo quindi un esempio concreto
che ci consente anche di introdurre il
tema dell’ethical hacking, nel contesto
degli obblighi di sicurezza di cui al Re-
golamento Comunitario in commento.
Sulla base delle osservazioni sin qui
svolte, ilTitolare e il Responsabile non
avranno adempiuto diligentemente ai
loro obblighi di sicurezza se, oltre a
implementare e configurare in modo
adeguato una protezione perimetrale
di tipo Firewall, non ne abbiano misu-
rato l’efficacia attraverso operazioni
dedicate quali i penetration test e i
vulnerability assessment.
Cioè se è vero, come è vero, che vi è
un obbligo di protezione dei dati, cor-
relato al quale sussiste un obbligo di
verifica e di relativa documentazione,
deve essere, ed è, altrettanto vero che
la verifica di resistenza (i.e. efficacia) di
determinate soluzioni tecniche e tec-
nologiche non può che essere condot-
ta sottoponendole alla minaccia dalla
quale le stesse devono proteggere. Ciò
non può che implicare, a mio avviso, la
necessità di documentare procedure
che prevedano di simulare le minac-
ce stesse attraverso le operazioni di
ethical hacking.
Penetration test vs vulnerability
assessment
Anche se dal punto di vista della teo-
ria della sicurezza delle informazioni
esistono profonde differenze tra le
operazioni relative alle attività di pe-
netration test (PT) e quelle invece
svolte durante azioni di Vulnerability
Assessment, (VA), principalmente in
ragione del maggior livello di profon-
dità delle prime rispetto alle seconde,
che risultano il più delle volte automa-
tizzate o semiautomatizzate e prelimi-
nari, da un punto di vista legale esse
si prestano ad alcune considerazioni
valide per entrambe.
In primo luogo si deve rilevare come
sia le operazioni di PT sia quelle di VA
che, oltre a essere obbligatorie nell’am-
bito per esempio della certificazione
PCI-DSS, possono essere ricondotte
nell’area di applicazione dell’ar t. 32
lett. d) del Regolamento 679/2016,
non possano essere ritenute lecite in
mancanza di specifica, espressa e do-
cumentata autorizzazione dell’avente
diritto.
Consenso dell’avente diritto
In effetti, attraverso le tecniche di VA
e le metodologie di PT non solo si
interagisce con beni hardware e sof-
tware che sono di proprietà di un
soggetto diverso da colui che le svol-
ge, ma soprattutto perché, nel corso
ovvero all’esito alle predette opera-
zioni, possono di fatto realizzarsi le
condotte tipiche previste da norme
penali incriminatrici, quali per esempio:
l’art. 615 ter del Codice Penale, che
punisce l’accesso abusivo a sistema
informatico o telematico oppure, l’art.
635 bis stesso codice che punisce il
danneggiamento di sistemi informatici
o telematici.
Inoltre, sia le operazioni di PT che
quelle di VA, determinano rappor ti
contrattuali atipici la cui disciplina, in
termini di determinazione esatta della
misura dell’adempimento o del livel-
lo di diligenza richiesto risulta essere
tutt’altro che agevole, tanto più allor-
ché, come sempre più frequentemente
avviene nella pratica quotidiana, vi sia-
no differenze tra il soggetto che usa
determinate soluzioni tecnologiche, e
vuole verificarne l’efficacia, e il soggetto
che ne è proprietario.
Si pensi, per concludere, quanto può
rivelarsi complesso e laborioso acqui-
sire l’autorizzazione anche da parte
dell’hosting service provider per lo
svolgimento di operazioni di ethical
hacking sulla piattaforma in cloud uti-
lizzata dal cliente di quest’ultimo.
95
maggio 2017
IL PARERE DEL LEGALE
NEL PROSSIMO NUMERO
Prendendo spunto dalle norme
interne in materia di trattamento
di dati sensibili, affronteremo la
disciplina del nuovo Regolamento
Comunitario relativa agli obblighi
di notificazione agli interessati
e all’Autorità di controllo, delle
violazioni di dati personali (Data
Breach Notification).