Previous Page  99 / 102 Next Page
Information
Show Menu
Previous Page 99 / 102 Next Page
Page Background

to dell’arte ai costi di attuazione, alla

natura, all’oggetto, al contesto e alle

finalità del trattamento stesso, come

anche al rischio di varia probabilità e

gravità per i diritti e le libertà delle

persone fisiche,

Al fine di quanto ci occupa rileva se-

gnatamente quanto previsto dalla let-

tera d) del primo comma del richia-

mato articolo 32 che espressamene

obbliga sia ilTitolare sia il Responsabile,

congiuntamente anche sotto il profilo

delle eventuali responsabilità per l’i-

nosservanza, a mettere in atto: proce-

dure per testare, verificare e valutare

regolarmente l’efficacia delle misure

tecniche e organizzative al fine di ga-

rantire la sicurezza del trattamento.

In forza della norma da ultimo citata,

quindi, ilTitolare e il Responsabile non

dovranno né potranno limitarsi a una

mera applicazione statica di misure di

sicurezza, tecniche ed organizzative

ma, al contrario, non potranno che

intendere l’adempimento del dovere

di sicurezza alla stregua di un processo

ricorsivo verosimilmente basato sullo

schema ‘Plan Do Check Act’ in cui il

momento dell’assessment si configura

come valutazione dell’efficacia e as-

surge al ruolo di elemento primario

dell’attuazione stessa.

Ethical hacking e GDPR

Vediamo quindi un esempio concreto

che ci consente anche di introdurre il

tema dell’ethical hacking, nel contesto

degli obblighi di sicurezza di cui al Re-

golamento Comunitario in commento.

Sulla base delle osservazioni sin qui

svolte, ilTitolare e il Responsabile non

avranno adempiuto diligentemente ai

loro obblighi di sicurezza se, oltre a

implementare e configurare in modo

adeguato una protezione perimetrale

di tipo Firewall, non ne abbiano misu-

rato l’efficacia attraverso operazioni

dedicate quali i penetration test e i

vulnerability assessment.

Cioè se è vero, come è vero, che vi è

un obbligo di protezione dei dati, cor-

relato al quale sussiste un obbligo di

verifica e di relativa documentazione,

deve essere, ed è, altrettanto vero che

la verifica di resistenza (i.e. efficacia) di

determinate soluzioni tecniche e tec-

nologiche non può che essere condot-

ta sottoponendole alla minaccia dalla

quale le stesse devono proteggere. Ciò

non può che implicare, a mio avviso, la

necessità di documentare procedure

che prevedano di simulare le minac-

ce stesse attraverso le operazioni di

ethical hacking.

Penetration test vs vulnerability

assessment

Anche se dal punto di vista della teo-

ria della sicurezza delle informazioni

esistono profonde differenze tra le

operazioni relative alle attività di pe-

netration test (PT) e quelle invece

svolte durante azioni di Vulnerability

Assessment, (VA), principalmente in

ragione del maggior livello di profon-

dità delle prime rispetto alle seconde,

che risultano il più delle volte automa-

tizzate o semiautomatizzate e prelimi-

nari, da un punto di vista legale esse

si prestano ad alcune considerazioni

valide per entrambe.

In primo luogo si deve rilevare come

sia le operazioni di PT sia quelle di VA

che, oltre a essere obbligatorie nell’am-

bito per esempio della certificazione

PCI-DSS, possono essere ricondotte

nell’area di applicazione dell’ar t. 32

lett. d) del Regolamento 679/2016,

non possano essere ritenute lecite in

mancanza di specifica, espressa e do-

cumentata autorizzazione dell’avente

diritto.

Consenso dell’avente diritto

In effetti, attraverso le tecniche di VA

e le metodologie di PT non solo si

interagisce con beni hardware e sof-

tware che sono di proprietà di un

soggetto diverso da colui che le svol-

ge, ma soprattutto perché, nel corso

ovvero all’esito alle predette opera-

zioni, possono di fatto realizzarsi le

condotte tipiche previste da norme

penali incriminatrici, quali per esempio:

l’art. 615 ter del Codice Penale, che

punisce l’accesso abusivo a sistema

informatico o telematico oppure, l’art.

635 bis stesso codice che punisce il

danneggiamento di sistemi informatici

o telematici.

Inoltre, sia le operazioni di PT che

quelle di VA, determinano rappor ti

contrattuali atipici la cui disciplina, in

termini di determinazione esatta della

misura dell’adempimento o del livel-

lo di diligenza richiesto risulta essere

tutt’altro che agevole, tanto più allor-

ché, come sempre più frequentemente

avviene nella pratica quotidiana, vi sia-

no differenze tra il soggetto che usa

determinate soluzioni tecnologiche, e

vuole verificarne l’efficacia, e il soggetto

che ne è proprietario.

Si pensi, per concludere, quanto può

rivelarsi complesso e laborioso acqui-

sire l’autorizzazione anche da parte

dell’hosting service provider per lo

svolgimento di operazioni di ethical

hacking sulla piattaforma in cloud uti-

lizzata dal cliente di quest’ultimo.

95

maggio 2017

IL PARERE DEL LEGALE

NEL PROSSIMO NUMERO

Prendendo spunto dalle norme

interne in materia di trattamento

di dati sensibili, affronteremo la

disciplina del nuovo Regolamento

Comunitario relativa agli obblighi

di notificazione agli interessati

e all’Autorità di controllo, delle

violazioni di dati personali (Data

Breach Notification).

1 91 92 93 94 95 96 97 98 99 100 101 102  FlippingBook