In questo articolo di Alessandro Pratesi, CEO di ICT Plus by HiSolution vengono analizzate le varie criticità che la Pubblica Amministrazione, e soprattutto i piccoli comuni, si trovano a dover affrontare nell’adempito della normativa GDPR relativa alla protezione dati e vengono forniti utili suggerimenti sull’approccio da utilizzare per non incorrere in sanzioni ed essere in regola con le normative vigenti.
GDPR e amministrazioni locali: problematiche e soluzioni indicate da HiSolution
Dall’entrata in vigore nel 2018 del GDPR (General Data Protection Regulation) nella Pubblica Amministrazione ha preso il via un percorso di attuazione che non si limita solo all’adempimento di una normativa ma comprende la protezione dei dati personali dei cittadini per scongiurare il rischio di violazioni di dati o furti d’identità. Le sanzioni previste per il mancato adempimento alla normativa sono pesanti, e toccano anche il penale in caso di trattamento illecito di dati personali, di acquisizione fraudolenta, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, o false dichiarazioni e inosservanza dei provvedimenti del Garante.
Le difficoltà della PA nella gestione della riservatezza dei dati dei cittadini sono state confermate dai numeri delle sanzioni pubblicati sul sito del Garante della Privacy, tra il 2020 e il primo trimestre 2021. Oltre il 71% delle sanzioni per violazioni dei dati personali è stata erogata a Enti Pubblici e il 29% a soggetti privati. Nel dettaglio le sanzioni indirizzate ai Comuni hanno riguardato il 31% dei provvedimenti.
Che cosa deve fare la PA per evitare le sanzioni previste in ambito protezione dati e privacy?
In primis deve definire l’ufficio di competenza della materia e nominare un Data Protection Officer (DPO). Poi è tenuta alla designazione dei responsabili del trattamento e alla registrazione delle attività connesse al trattamento stesso dei dati. Ma, soprattutto, deve garantire l’integrità delle informazioni, attività altamente complessa che include la registrazione dei file di log in maniera conforme al GDPR; la conservazione dei file di accesso per un periodo di almeno 180 giorni con la garanzia che questa rimanga inalterata; la marcatura temporale di ogni file di log; il rilevamento e blocco di accessi non autorizzati; la messa in atto di adeguate misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati.
E i piccoli comuni?
La tutela del diritto alla riservatezza dei propri cittadini passa attraverso un sistema di protezione dei dati personali che deve essere in grado di garantire il rispetto delle disposizioni e dei principi del Regolamento Europeo 679/2016 e della normativa nazionale in materia di Privacy. Questo vale anche per i comuni di piccole dimensioni, dove però l’attuazione, risulta complicata dall’endemica carenza di personale, dalla mancanza di skills in materia e dalle ridotte risorse economiche che non consentono di tenere il passo con le sfide dell’innovazione digitale. In contesti del genere l’adeguamento alla normativa richiede uno sforzo organizzativo non indifferente ma anche la necessità di attuare misure tecniche relative alla parte IT che operino sulla sicurezza del dato.
Log management, strumento fondamentale per la gestione e la protezione dei dati
Con l’entrata in vigore del GDPR, risulta quindi evidente come il log management sia diventato uno strumento imprescindibile per le organizzazioni in tema di gestione e protezione dati, incluse le Pubbliche Amministrazioni.
Per log management si intende l’aggregazione, la conservazione e la registrazione a norma di legge del registro degli accessi ai sistemi informativi. Lo scopo è garantire la totale sicurezza dei sistemi stessi. Gli access log devono avere caratteristiche come l’inalterabilità e la completezza, e la possibilità di verifica della loro integrità. La raccolta dei log è importante perché serve a verificare eventuali anomalie nella frequenza degli accessi esterni e nelle loro modalità (in termini di orari, date, durata e sistemi da cui viene effettuato l’accesso).
Che approccio utilizzare
Affidarsi a soluzioni software di log management appositamente progettate e sviluppate per garantire la conformità verso i principali regolamenti in vigore che permettano di avere completa visibilità sulla postura di sicurezza delle aziende della PA e private è senz’altro il primo passo da prevedere.
Spesso però l’adozione di una soluzione di log management per la gestione e la protezione dati non è sufficiente soprattutto se all’interno della struttura il personale dedicato non ha le competenze necessarie.
In casi come questi, molto frequenti soprattutto nei comuni medio piccoli, la soluzione migliore potrebbe essere quella di affidarsi a servizi gestiti dedicati, forniti da Managed Service Provider specializzati in grado di prendere in carico la gestione e il monitoraggio di log, integrati con la capacità di rilevamento e remediation delle attività critiche che si dovessero presentare. La proposta del servizio gestito permette anche di avere report specifici per la gestione costante della sicurezza all’interno dell’azienda o della Pubblica Amministrazione.
di Alessandro Pratesi, CEO di ICT Plus by HiSolution
