GDPR: I CONCETTI DI RISERVATEZZA, INTEGRITA’ E DISPONIBILITA’

Nell’affrontare le tematiche di privacy e cybersecurity si è sicuramente sentito parlare dei cosiddetti “requisiti RID” o, in inglese, della “CIA triad”. Tuttavia, come spesso accade per gli acronimi, tali concetti rischiano di essere poco chiari agli interlocutori, che magari non hanno contezza di quali siano i vocaboli a cui rimanda la sigla, o non ne conoscono pienamente il significato.

Per tale ragione, è utile fornire una guida chiara, che permetta ai lettori di comprendere una volta per tutte cosa si celi dietro questa “ignota triade” che, anticipiamo, raccoglie al suo interno i concetti di Riservatezza, Integrità e Disponibilità (in inglese Confidentiality, Integrity e Availability).

Tali requisiti RID sono talmente importanti da essere espressamente ripresi dal legislatore europeo all’interno dello stesso GDPR. Infatti, l’art. 32 par. 1 lett. b del Regolamento 679/2016, dedicato alla sicurezza del trattamento di dati personali, individua tra le misure tecniche e organizzative che devono essere garantite anche “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”. Appare quindi evidente che sia proprio il GDPR ad associare ai requisiti RID anche un altro concetto che deve essere approfondito: la Resilienza.

Accanto al citato articolo 32, vi è anche un altro punto del Regolamento 679/2016 in cui i requisiti RID sono implicitamente ripresi: la definizione di “violazione dei dati personali” ex art. 4 GDPR, infatti, parla di una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Da queste righe è evidente, come anche poi esplicitato dallo stesso Garante Italiano, che una violazione di dati personali va proprio a compromettere la riservatezza, l’integrità o la disponibilità di dati personali.

Riservatezza

Andando in ordine, il primo concetto da analizzare è quello di Riservatezza, o Confidentiality, con il quale ci si riferisce al fatto che le informazioni devono essere protette da un accesso non autorizzato o illecito. In altre parole, i dati devono essere accessibili, e possono di conseguenza essere trattati, solo da coloro che sono autorizzati a farlo.

Ciò vale non soltanto per i dati personali, la cui riservatezza si è detto essere espressamente prevista dal GDPR, ma anche per le informazioni che non rientrano in tale categoria. Infatti, sposare una strategia che si preoccupa di garantire a livello più generale la sicurezza delle informazioni, per estensione, andrà a tutelare anche i dati personali gestiti dalle Organizzazioni.

Per questo motivo, è possibile attingere ai requisiti previsti dalla ISO 27001 per un Sistema di gestione della sicurezza delle informazioni al fine di individuare delle indicazioni utili per qualsiasi realtà che si preoccupi di garantire la riservatezza dei dati che tratta. Seguendo tale approccio, per soddisfare il primo dei requisiti RID, le organizzazioni dovrebbero innanzitutto operare una classificazione delle informazioni in base alla platea di soggetti a cui vogliono renderle accessibili: secondo tale criterio, i dati potranno quindi essere resi disponibili al pubblico, oppure ad un gruppo più o meno ristretto di individui.

Integrità

Il Comitato europeo per la protezione dei dati (EDPB), nelle sue Linee Guida del 2019 sul tema della Data Protection by Design e by Default, associa al concetto di Riservatezza appena visto il secondo termine che compone la triade RID: Integrità. Dedicando un paragrafo a “Integrity and confidentiality”, l’EDPB definisce l’Integrità come la garanzia che i dati non siano sottoposti a perdita, distruzione o danno. Il concetto può essere declinato individuando tre aspetti chiave che lo compongono:

• Completezza, per cui le informazioni devono essere presenti nella loro totalità;
• Accuratezza, nel senso che ogni elemento informativo deve essere privo di errori;
• Validità, intesa come la certezza che le informazioni derivino da processi elaborativi validi ed autorizzati.

Elemento fondamentale, quindi, è che i dati personali, e più in generale le informazioni, siano protette da manomissioni e/o modifiche che sono inaccettabili perché non autorizzate o perché, anche se autorizzate, sono accidentalmente o volontariamente errate.

Disponibilità

L’ultimo concetto che compone i requisiti RID, quello della disponibilità, si discosta leggermente dai primi due perché meno legato alla divulgazione o compromissione delle informazioni, ma piuttosto al fatto che esse siano, appunto, disponibili. L’Availability rimanda infatti alla proprietà di un dato di essere presente e utilizzabile nei tempi, nei luoghi e nelle modalità adeguate alle necessità operative dell’interessato. La disponibilità dei dati è quindi un elemento fondamentale per garantire la continuità operativa di qualsiasi organizzazione e, idealmente, questa dovrebbe essere assicurata 24/7 per 365 giorni l’anno.

Per garantire la disponibilità dei dati è necessario che venga definito un appropriato sistema di Data Management, che preveda innanzitutto i back up dei dati e la ridondanza dei sistemi, in modo tale da garantire che le informazioni, o perlomeno quelle di natura essenziale, possano essere recuperate in qualsiasi momento. Ciò inevitabilmente richiede che tali informazioni, una volta riacquisite, siano complete, accurate e valide, e cioè che venga rispettato il secondo requisito RID, l’Integrità.

Resilienza

Alla ormai chiara triade RID, il GDPR si è detto associare anche il concetto di Resilienza, un termine talvolta abusato su cui è utile soffermarsi per capire la sua importanza all’interno delle Organizzazioni. Queste ultime, infatti, potranno dirsi resilienti se in grado di adattarsi e rispondere velocemente a situazioni impreviste e/o di crisi, come possono essere quelle generate, ad esempio, da emergenze come quella pandemica appena vissuta, oppure da attacchi informatici che sempre più spesso colpiscono imprese e istituzioni.

Un’efficace cultura della resilienza non elimina del tutto il rischio che le organizzazioni siano chiamate ad affrontare delle crisi, ma fa in modo che, quando ciò accade, esse siano in grado di gestirle e, idealmente, trasformarle in opportunità di crescita e miglioramento. Per fare ciò è necessario creare ambienti di lavoro dinamici e flessibili, in cui sia ben chiaro il ruolo fondamentale che la tecnologia assume nel garantire la Resilienza, o meglio la Cyber-resilienza, dell’organizzazione, come sottolineato nelle Best Practices sul tema pubblicate dall’ENISA e dal CERT-EU.

RID e la sicurezza delle informazioni

Concludendo, è importante rimarcare il fatto che le organizzazioni debbano, da un lato, impegnarsi nella promozione di una cultura della Resilienza interna e, dall’altro, garantire la sicurezza delle informazioni che trattano. Quest’ultimo aspetto si traduce proprio nella necessità di tutelare i tre requisiti RID, attraverso strategie di prevenzione e contrasto degli eventi che possono impattare su coloro che sono chiamati a gestire le informazioni, siano esse dati personali o meno.

In particolare, la tutela della Riservatezza si attua mediante interventi idonei a impedire il verificarsi di accessi non autorizzati ai dati o la loro diffusione incontrollata; la tutela dell’Integrità si realizza attraverso il contrasto a modifiche non consentite o al danneggiamento delle informazioni; e, infine, la tutela della Disponibilità si consegue garantendo, ai soggetti autorizzati, l’accesso alle risorse in tempi utili al compimento della propria missione.