L'assessment deve tenere conto dei rischi connessi all'esternalizzazione di prodotti o sistemi che devono essere gestiti attraverso controlli adeguati, che comprendono una combinazione di controlli legali, fisici, logici, procedurali e manageriali. L'assessment, oltre a essere un metodo per dimostrare la propria accountability, nel caso degli outsourcer è anche un'attività che rientra nel principio di "data protection by design and by default" ai sensi dell'art. 25 del GDPR.

Consigliamo di predisporre una checklist che non consideri solo la sicurezza dei dati, ma anche gli obblighi di conformità a normative o a standard industriali a cui l'azienda cliente è sottoposta in virtù del Paese di appartenenza, del settore di attività o di entrambi.

In particolare, per rispondere alle esigenze specifiche in materia di:

  • SICUREZZA DEL CLOUD Richiedere l'esibizione dell'ottenimento di certificazioni specifiche e relative al contesto di outsourcing in esame, comprese anche le attività di audit di conformità eseguite in caso di adesione a codici di condotta specifici. In caso di mancanza di certificazione e/o adesione a codici di condotta, le checklist dovrebbero contenere i controlli descritti dalla ISO 27017 o quelli per l'ottenimento della certificazione CSA STAR.
  • GOVERNANCE Predisporre dei controlli atti a evitare la perdita di governo sul proprio patrimonio informativo e su processi di gestione chiave.
  • GESTIONE DELLE IDENTITÀ E DEI RUOLI Considerare tutti quei controlli atti a impedire accessi non autorizzati ai dati sia da parte dell'outsourcer che dei suoi eventuali subappaltatori.
  • GESTIONE DEL CONTRATTO I controlli dovrebbero verificare:

- La presenza di clausole di riservatezza, salvaguardia e rivendicazione dei diritti di proprietà intellettuale.

- Come vengono recepite le normative italiane ed europee in tema di protezione dei dati per quanto attiene alle misure nel dominio tecnologico e organizzativo del fornitore, con particolare riferimento all'adesione a codici di condotta, norme sulla cancellazione sicura dei dati, obblighi relativi agli amministratori di sistema, disponibilità di copie di sicurezza e ripristino di dati e di sistemi, modalità di gestione dei diritti degli interessati, e via dicendo.

- L'esistenza di procedure di gestione e notifica degli incidenti di sicurezza verso l'azienda, prestando la dovuta attenzione al modo in cui si deve (o non si deve) comunicare congiuntamente verso i clienti del cloud, consumer o utenti dell'azienda cliente.

- La presenza di clausole che specifichino come i contratti devono essere gestiti in relazione all'evoluzione delle esigenze operative e dell'organizzazione aziendale, per tenere conto di eventuali variazioni nel quadro normativo cogente e, infine, per monitorare costantemente il raggiungimento degli obiettivi che avevano giustificato il contratto stesso, tramite parametri di misura del loro raggiungimento (KPI, Key Performance Indicator).

- La presenza di coperture assicurative, soprattutto per i fornitori meno strutturati, che permettano di far fronte a eventuali danni cagionati durante l'esecuzione del contratto, ai quali l'outsourcer in autonomia non saprebbe far fronte.

- Le misure di sicurezza in essere che permettono di garantire elevati livelli di sicurezza cyber e infrastrutturale (Data center certificato TIER IV e così via), la loro efficacia in risposta alle minacce potenziali o agli incidenti verificatesi e le misure previste a fronte della valutazione del rischio effettuata relativa all'ambito del servizio di outsourcing.

STIPULA DI NUOVI CONTRATTI

In caso di stipula di nuovi contratti di outsourcing è consigliabile effettuare dei controlli preliminari che riguardino la reputazione e la storia della società, la qualità dei servizi forniti ad altri clienti, la stabilità finanziaria della società, gli standard di gestione della qualità e della sicurezza attualmente seguiti dalla società (ad esempio conformità certificata con ISO 9000 e ISO/IEC 27001). Questo tipo di attività di assessment potrebbe rilevare dei rischi commerciali come la possibilità che l'attività dell'outsourcer fallisca, che non sia in grado di raggiungere livelli di servizio desiderati o che stia fornendo servizi a concorrenti della società. Il risultato dell'assessment, come si può vedere, diventa elemento fondamentale per la scelta dell'outsourcer.

TRE APPROCCI: AUTO-ASSESSMENT, ASSESSMENT ONLINE O IN OUTSOURCING

L'assessment può essere realizzato all'interno dell'organizzazione, con l'eventuale utilizzo di asset disponibili sul mercato o richiedere il coinvolgimento di soggetti terzi. Analizziamo più in dettaglio le principali casistiche evidenziando i limiti dei diversi approcci.

  • AUTO-ASSESSMENT Nell'auto-assessment l'organizzazione individua un team di lavoro interno, composto da referenti cross funzionali, incaricati di effettuare il percorso di valutazione. Questo tipo di approccio presenta diversi limiti. Tra i principali si segnala la criticità legata al livello di preparazione, che deve essere adeguato rispetto al Regolamento e agli ambiti da indirizzare, che si caratterizzano per eterogeneità e verticalità. Un altro punto critico è la necessità di disporre di risorse ma anche del tempo necessari allo svolgimento dell'attività di assessment (ad esempio le interviste con i referenti delle Unità Organizzative), da bilanciare con l'impegno dedicato a gestire, in paralleo, il lavoro ordinario. Il terzo punto critico è la necessità di dover disporre di asset a supporto della rilevazione delle informazioni (ad esempio il Data Protection Maturity Model) nonché la formalizzazione delle azioni, ovvero un elenco standard di azioni, da personalizzare in funzione della specifica realtà. Gli esperti segnalano anche la necessità di coinvolgere tutti i referenti che concorrono al corretto svolgimento dell'assessment considerando anche la necessità di crere tutti gli strumenti di supporto relativi.
  • ASSESSMENT ONLINE Nel caso si scelga di procedere con l'assessment online, l'organizzazione deve individuare una o più soluzioni disponibili sul mercato da adottare a supporto della realizzazione dell'assessment quali, ad esempio, tool e questionari sviluppati da società di consulenza e studi legali che restituiscono risultati di alto livello in merito al livello di maturità dell'organizzazione in ottica GDPR. Questo tipo di approccio presenta dei vantaggi, tra cui un risparmio significativo sull'effort richiesto per la costruzione degli asset e l'individuazione dei requisiti del GDPR. Tuttavia sussistono alcuni limiti. Tra quelli principali va annoverata la personalizzazione dei risultati, in funzione delle peculiarità dell'organizzazione (ad esempio il settore di attività e/o l'area di business) così come la capacità, non scontata, di interpretare e approfondire opportunamente le indicazioni emerse dall'assessment, anche nell'ottica della costruzione dell'action plan. IUn altro fattore da considerare è il costo per l'acquisizione e l'implementazione degli asset necessari alla realizzazione dell'assessment, soprattutto per entità rilevanti come, ad esempio, nel caso di gruppi societari. Come sottolineano gli esperti, è evidente che, soprattutto nei casi di organizzazioni mediograndi (ad esempio nel caso di gruppi societari) o aventi una complessità importante (ad esempio nel caso di trattamenti su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati), un approccio che restituisca dei risultati esaustivi ma molto di alto livello può essere utile a identificare esclusivamente le macro-aree di intervento, ma non può che costituire un pre-assessment. Per completare l'assessment, infatti, l'organizzazione deve necessariamente effettuare un'analisi approfondita della documentazione in uso (es. informative, consensi, clausole contrattuali) e realizzare una serie di approfondimenti con i referenti di funzione, sia di staff sia di business, prestando particolare attenzione alle funzioni più impattate dal punto di vista del trattamento dei dati personali (es. Marketing B2C).
  • RICORSO A PARTNER ESTERNI Ricorso a partner esterni: al netto dei costi richiesti per l'approvvigionamento, rappresenta l'approccio più "sicuro" da adottare, tuttavia è fondamentale essere affiancati da partner adeguati. Il partner ideale deve essere in grado di offrire un supporto a 360° all'organizzazione, coprendo l'intero perimetro del modello grazie alla coesistenza al proprio interno di figure fortemente eterogenee, con competenze legali, organizzative/gestionali e tecnologiche. Il coinvolgimento attivo di alcune figure interne all'organizzazione e l'adeguata sponsorship del vertice, tuttavia, rappresentano fattori chiave per la buona riuscita dell'assessment e per il cambiamento culturale a cui mira il GDPR con il concetto di accountability.

10 maggio 2018