Le procedure di business continuity rappresentano uno degli elementi di valutazione dell’adeguatezza delle misure tecniche ed organizzative richieste dal GDPR al Titolare del trattamento per garantire la sicurezza dei trattamenti.
L’art. 32 GDPR prevede, infatti, che “tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare del trattamento (…) mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendo, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento.”
Il considerando n. 49 specifica, inoltre, che “costituisce legittimo interesse del Titolare (…) trattare dati personali (…) in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema di informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali“.
L’art. 32 del GDPR richiede, quindi, ai Titolari del trattamento di dotarsi di strumenti, sia tecnici sia organizzativi, che assicurino, su base permanente, la sicurezza, la resilienza dei servizi di trattamento e il ripristino tempestivo della disponibilità e dell’accesso dei dati personali in caso di incidente fisico o tecnico.
Occorre, quindi, dotarsi di adeguati modelli di organizzazione tali per cui la riservatezza, l’integrità e la disponibilità dei dati vengano garantite per tutto il corso del trattamento.
Ciò significa che il GDPR chiede a tutti i Titolari del trattamento di dotarsi di adeguate procedure di business continuity, cioè di regole organizzative efficaci a definire un processo continuo finalizzato ad assicurare che siano presi gli opportuni accorgimenti per identificare la severità delle possibili perdite e mantenere strategie praticabili per la ripresa dell’operatività e la continuità dei trattamenti.
La business continuity è, infatti, un processo continuo finalizzato a rendere un’organizzazione resiliente, cioè in grado di continuare ad operare malgrado sia stata oggetto di un evento che ne ha compromesso in maniera più o meno grave la capacità di proseguire la sua attività al livello usuale.
Prendendo spunto da Wikipedia, con il termine resilienza si definisce:
- in ingegneria, la capacità di un materiale di resistere a forze impulsive, cioè la capacità di resistere ad urti improvvisi senza spezzarsi;
- in informatica, la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati;
- in ecologia e biologia, la capacità di una materia vivente di autoripararsi dopo un danno, o quella di una comunità o di un sistema ecologico di ritornare al suo stato iniziale, dopo essere stata sottoposta a una perturbazione che ha modificato quello stato;
- nel risk management, la capacità intrinseca di un sistema di modificare il proprio funzionamento prima, durante e in seguito ad un cambiamento o ad una perturbazione, in modo da poter continuare le operazioni necessarie sia in condizioni previste che in condizioni impreviste.
E’ importante capire che ciò che si chiede all’organizzazione del Titolare del trattamento non è di continuare ad operare come se nulla fosse accaduto, bensì di farlo ad un livello ritenuto accettabile.
Ma qual è, in base al principio espresso dall’art. 32 GDPR, il livello ritenuto accettabile per ritenere adeguate le misure di business continuity poste in essere dal Titolare del trattamento?
Poiché gli eventi e le minacce possono essere di moltissimi tipi – dagli eventi naturali, agli errori umani, alle frodi, etc. – l’attività principale demandata al Titolare del trattamento sarà quella di capire quali minacce possono bloccare un determinato processo.
Questa fase di analisi è basata sull’approccio risk based tipico del GDPR e può includere anche l’esame dell’impatto che può subire un’organizzazione dall’evento malevolo: in questo contesto assume, quindi, molta importanza svolgere un’accurata analisi dell’organizzazione aziendale nel suo complesso.
Operando con questo approccio, per porre in essere un efficace sistema di business continuity il Titolare del trattamento dovrà operare secondo i criteri del ciclo di Deming (Plan-Do-Check-Act) e, pertanto, dovrà:
- definire il perimetro dell’attività di business continuity management system, cioè della gestione continuativa dei processi critici attraverso l’analisi del contesto aziendale sotto ogni profilo;
- individuare i processi critici e i rischi, progettando soluzioni preventive e di continuità idonee a permettere la prosecuzione dell’attività aziendale (e, quindi, dei relativi trattamenti) anche in condizioni critiche, ad un livello limitato ma ritenuto accettabile;
- verificare quanto attuato, tramite periodici test, esercizi, internal audit;
- correggere i piani nel tempo, nell’ottica del continuo miglioramento.