Sicurezza e privacy: due facce della stessa medaglia che non sono sempre facili da conciliare. Come bilanciarne il peso e mettere in piedi soluzioni che garantiscano una protezione dai rischi di atti illeciti senza violare allo stesso tempo il diritto alla riservatezza?

Questo dilemma è sempre più spesso al centro delle discussioni di cybersecurity. Per aiutare la comunità accademica e della ricerca a fare chiarezza sugli aspetti più critici, GARR ha dedicato un’intera sessione all’argomento durante il suo Workshop annuale, tenutosi a Roma lo scorso aprile. Si è trattato di un utile tavolo di confronto tra esperti e addetti ai lavori che hanno affrontato la questione dai differenti punti di vista per cercare di dare risposte ai dubbi e di avviare un percorso condiviso sulle regole generali da adottare.

Tra le posizioni divergenti, quelle rappresentate dal Garante della Privacy e della Polizia Postale sono state esemplificative di come le diverse esigenze debbano trovare un equilibrio e coesistere all’interno dello stesso quadro normativo. Cosimo Comella dell’Ufficio del Garante per la protezione dei dati personali lo esprime chiaramente: “Siamo di fronte a due piani diversi: la protezione della sfera individuale (la cosiddetta privacy) e il rispetto di regole finalizzate al mantenimento della sicurezza, sia informatica che pubblica, e al buon funzionamento della giustizia con l’accertamento della repressione dei reati. Proteggere i dati personali vuol dire avere al centro il soggetto tutelato. Ciascuno di noi è esposto al rischio che il trattamento dei propri dati non sia in linea con il nostro volere. Quando si tratta di soggetti pubblici, però, il senso di responsabilità deve essere maggiore poiché si è guidati da fini istituzionali e si opera per il bene comune secondo previsioni di legge e di regolamento. Diventa fondamentale rispettare il principio di liceità”.

Secondo Ivano Gabrielli della Polizia Postale “per finalità lecite dell’uso dei dati rientrano anche quelle relative alla sicurezza pubblica. Nell’ambito di azioni di contrasto alla criminalità è quindi essenziale riuscire a recuperare quanti più dati siano utili alle indagini. A volte però tale necessità si scontra con i vincoli imposti dalla normativa sulla privacy . Occorre quindi operare un bilanciamento di valori che viene rimesso ad una norma e in secondo luogo all’autorità giudiziaria”. Le parole chiave sono equilibrio e ragionevolezza. La linea da seguire, soprattutto per chi fa ricerca e istruzione e necessita di avere reti e servizi avanzati, deve essere di utilizzare misure che siano adeguate e proporzionali, sia per quanto riguarda il trattamento dei dati (tempi e modalità di conservazione) sia per i livelli di protezione dei sistemi. Equilibrio e proporzionalità che devono essere rispettati anche per coniugare il rispetto delle norme con le specificità della comunità della ricerca che per sua natura necessita di una certa flessibilità per i suoi scopi istituzionali.

Sul lato della cosiddetta data retention, ovvero la conservazione obbligatoria di dati di traffico telefonico o telematico è stato illuminante il chiarimento che Comella ha fornito per risolvere un equivoco molto frequente tra gli amministratori di reti di università ed enti di ricerca. Non esiste, infatti, nessun obbligo di legge a conservare dati personali o log di traffico per finalità di giustizia o di accertamento dei reati. Taleobbligo riguarda invece esclusivamente gli operatori iscritti al ROC (Registro degli operatori di comunicazione) che offrono servizi di comunicazione elettronica accessibili al pubblico.

“Le università e gli enti di ricerca - ha precisato Comella - non hanno il compito di svolgere attività di indagine. Possono tutelare sé stesse, i propri lavoratori e gli studenti, ma senza sconfinare in ruoli che non appartengono loro e che rischierebbero di ledere interessi di qualcuno ed esporre lo stesso ente a responsabilità di altro tipo. Questo non vuol dire che non sia possibile operare a tutela della sicurezza dei dati e dei sistemi, però lo si deve fare con altri criteri. In ogni caso, va valutato attentamente cosa fare per rispettare i principi di proporzionalità dei trattamenti, di finalità, di non eccedenza, di necessità rispetto a fini leciti. Inoltre, per garantire la trasparenza, è fondamentale offrire agli utenti un’informativa precisa di come viene effettuato il trattamento dei dati”.

Protezione dei dati: verso un nuovo regolamento

Una novità importante in questo senso è rappresentata dal nuovo regolamento europeo sulla protezione dati (GDPR), approvato ad aprile 2016 e che dovrà essere pienamente applicato entro maggio 2018. Se n’è parlato molto negli ultimi mesi e le organizzazioni piccole e grandi devono adoperarsi per adempiere agli obblighi previsti. In attesa di una legge che disciplini in maniera chiara alcuni punti del regolamento, il Garante della Privacy ha pubblicato delle linee guida che suggeriscono alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento, che non lasciano spazio a interventi del legislatore nazionale.

Un invito a consultare la linee guida per non arrivare impreparati alla scadenza del 2018 viene anche dall’avvocato Alessandro Nicotra, esperto di informatica giuridica e membro di Internet Society Italia, che ha inoltre affrontato il tema della scelta del responsabile della protezione dei dati, il cosiddetto DPO (Data Protection Officer), ovvero uno degli obblighi introdotti dal regolamento e sul quale ancora ci sono aspetti poco chiari. Si tratta di una figura professionale che dovrebbe avere particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi e il cui compito principale sarà l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.

“Il consiglio che mi sento personalmente di dare - ha detto l’avvocato Nicotra – è quello di evitare che, nelle organizzazioni pubbliche in cui il DPO è vincolante e obbligatorio, questa figura sia scelta tra gli amministratori di sistemi. Ciò anche per non incorrere in eventuali conflitti di interessi evidenziati dal regolamento”.

Hanno detto

Per le università e gli enti di ricerca non esiste nessun obbligo di legge a conservare dati personali o log di traffico per finalità di giustizia o di accertamento dei reati.
Cosimo Comella, Ufficio del Garante per la protezione dei dati personali

Sul tema della sicurezza nessuno è un’isola. Non si può pensare solo alla propria sicurezza, ma occorre cooperare. Se ognuno tenesse pulita la porzione di strada di propria competenza, tutta la strada sarebbe più pulita.
Corrado Giustozzi, CERT-PA

Cloud, sicurezza e cooperazione

Il problema di sicurezza e privacy è ancora più complesso se si pensa alla quantità crescente di dati che viene gestita attraverso cloud che spesso risiedono all’estero. “In questi casi – spiega Gabrielli – ci troviamo di fronte a norme molto differenti rispetto a quelle vigenti nel nostro Paese, con livelli diversi di conservazione di dati di traffico e problematiche di tipo rogatoriale, quali ad esempio la necessità di acquisire prove in giro per il mondo in tempi molto stretti. Esistono due tipi di problemi: il primo è relativo alla tempistica e alla velocità con cui siamo costretti a muoverci e il secondo è quello dell’incongruenza di reati tra diversi ordinamenti, in cui non sempre certe attività sono riconosciute come criminali. Nel caso di tutela di infrastrutture critiche, ad esempio, di fronte ad un attacco portato tramite un collegamento con una rete privata virtuale (VPN) dagli Stati Uniti attraverso un provider cosiddetto bulletproof, ovvero che non fornisce dati e ha policy di privacy stringenti per i propri utenti, la necessità immediata è quella di congelare i dati lì dove partono e quindi di cooperare con le forze di polizia di un altro Paese. A volte però questo non basta se c’è un’incongruenza di reati tra diversi ordinamenti, come ad esempio per alcuni reati relativi al freedom of speech, la libertà di parola, che negli Stati Uniti sono considerati diversamente e certe attività non sono riconosciute come criminali”.

Un punto cruciale è che il tema della sicurezza deve essere valutato in sede internazionale per definire accordi e regole comuni. In Europa il processo è in corso, ma è necessario che siano coinvolti anche gli USA, dove risiede circa il 90% dei dati presenti sul web. D’altra parte, avere regole condivise per la conservazione dei dati e per la velocità di accesso ad essi è assolutamente vitale per individuare responsabilità e fare attività di prevenzione.

Collaborazione estesa tra chi si occupa di cybersecurity e prevenzione dei rischi sono fattori chiave che guidano anche l’attività del CERT-PA, il Computer Emergency Response Team della Pubblica Amministrazione. Nell’ambito della PA l’atteggiamento nei confronti della sicurezza sta cambiando ma deve ancora recuperare un ritardo dovuto principalmente a due fattori: la convinzione del passato di non essere oggetto di attacchi informatici e l’endemica mancanza di fondi e risorse. Alcuni passi avanti sono stati fatti e il CERT-PA, partendo da una situazione di scarsa visibilità (tanto che all’interno della PA spesso se ne ignora l'esistenza), sta lavorando intensamente per accrescere nel settore pubblico la consapevolezza di quanto sia importante mettere in atto protezioni di sicurezza.

Un segno di questo cambiamento è il documento dal titolo Misure minime di sicurezza ICT per le pubbliche amministrazioni, pubblicato dall’Agenzia per l’Italia Digitale nella Gazzetta Ufficiale lo scorso aprile. L’adozione di queste regole all’interno della PA è prevista entro la fine dell’anno ma, come ha spiegato Corrado Giustozzi di CERT-PA, co-autore del documento, “non si tratta semplicemente di un ennesimo obbligo di legge, ma piuttosto di suggerimenti che sono articolati secondo tre livelli di sicurezza crescente. I controlli del primo gruppo (livello minimo) rappresentano un livello base sotto il quale non si può scendere. Si tratta di buon senso cristallizzato, di misure di carattere tecnico e amministrativo che possono essere raggiunte anche con risorse limitate come quelle a disposizione della PA. I controlli del secondo gruppo (livello standard) rappresentano la base di riferimento per la maggior parte delle amministrazioni, e costituiscono un ragionevole compromesso tra efficacia delle misure preventive ed onerosità della loro implementazione. I controlli del terzo gruppo (livello alto) rappresentano infine il livello adeguato per le organizzazioni maggiormente esposte a rischi, ad esempio per la criticità delle informazioni trattate o dei servizi erogati, ma anche l’obiettivo ideale cui tutte le altre organizzazioni dovrebbero tendere”.

Anche dal punto di vista di chi lavora per la sicurezza della PA, la linea da seguire è quella di un approccio cooperativo tra i vari soggetti. Il CERT-PA ad esempio ha un’ottima collaborazione con il GARR-CERT, così come con le altre strutture omologhe. Questa attenzione per la cooperazione è inoltre ora ribadita in maniera esplicita nella direttiva europea 2016/1148, anche detta NIS (Network and Information Security) sulle misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione che dovrà essere recepita dagli ordinamenti nazionali entro maggio 2018. Tra gli obiettivi principali della direttiva c’è proprio quello di migliorare le capacità di cybersecurity dei singoli Stati dell’Unione e di aumentare il livello di cooperazione tra i CERT nazionali.