La catena di custodia come misura di accountability per la protezione dei dati personali

Con sempre maggiore frequenza si fa ricorso alla definizione “catena di custodia”; in quest’articolo cerchiamo di comprenderne il significato nel contesto della protezione dei dati personali.

Cominciamo dal glossario. La Nist fornisce per “catena di custodia”, la seguente definizione: “A process that tracks the movement of evidence through its collection, safeguarding, and analysis lifecycle by documenting each person who handled the evidence, the date/time it was collected or transferred, and the purpose for the transfer.”

Ovvero: “Un processo che tiene traccia del movimento delle evidenze attraverso la raccolta, la salvaguardia e l'analisi del ciclo di vita, documentando ogni persona che ha gestito le evidenze, la data/ora in cui sono state raccolte o trasferite e lo scopo dei trasferimenti”. (libera traduzione dell’autrice)

La ISO 22095:2020 “Chain of custody — General terminology and models”, fornisce le seguenti definizioni:

- 3.1.1 Chain of custody “Process by which inputs (3.2.2) and outputs (3.2.3) and associated information are transferred, monitored and controlled as they move through each step in the relevant supply chain (3.2.1)” – 3.1.1 Catena di custodia - Processo mediante il quale gli input (3.2.2) e gli output (3.2.3) e le informazioni ad essi associate vengono trasferiti, monitorati e controllati attraverso ogni fase della catena di fornitura pertinente (3.2.1)
- 3.1.2 Chain of custody system – “Set of measures designed to implement a chain of custody (3.1.1), including documentation of these measures - Note 1 to entry: The purpose of a chain of custody system is to provide credibility that the given material or product has a set of specified characteristics (3.2.5). Note 2 to entry: The information linked to materials or products is transferred, monitored and controlled throughout the entire supply chain (3.2.1) or parts of it” - Insieme di misure progettate per implementare una catena di custodia (3.1.1), inclusa la documentazione di tali misure - Nota 1 alla voce: Lo scopo di un sistema di catena di custodia è quello di fornire credibilità che un dato materiale o prodotto abbia una serie di caratteristiche specifiche (3.2.5). Nota 2 alla voce: Le informazioni legate a materiali o prodotti sono trasferite, monitorate e controllate lungo l'intera catena di fornitura (3.2.1) o parti di essa.

La “catena di custodia”, come ben rilevano la NIST e la ISO 22095 non si riferisce solo ai documenti, siano essi in formato elettronico o cartaceo, ma si estende a tutte le evidenze (ad esempio anche alle provette contenenti le urine degli atleti nel corso di una competizione sportiva). Nell’articolo si tratterà, in modo quasi esclusivo, di quelle su supporti cartacei o elettronici.

La catena di custodia come misura di accountability

"Catena di custodia" è una definizione oggettivamente poco comprensibile; nonostante ciò, con l'introduzione del GDPR, è diventata una parte essenziale delle operazioni in materia di sicurezza dei dati. La distruzione dei supporti materiali o elettronici contenenti dati è il punto finale della catena di custodia e rappresenta una parte fondamentale del processo volto a garantire la sua sicurezza. Ogni azienda è obbligata ad adottare misure per salvaguardare la catena, al fine di garantire che gli obblighi di conformità saranno rispettati nel corso dell’intero ciclo di vita di un documento. Inoltre, il presidio di questo aspetto diventa ancora più pressante per quelle organizzazioni che rientrano nel perimetro NIS 2 e DORA, le quali a maggiore ragione richiedono misure stringenti.

Ogni struttura di accesso alle entità da salvaguardare dovrebbe essere regolata da rigorose procedure di catena di custodia. Le entità archiviate dovrebbero avere un identificatore univoco allegato, che consenta di tenere traccia di dove e quando si trova l’entità in ogni momento lungo tutto il ciclo di vita dell’identità. Ogni volta che un’entità viene recuperata, consultata, distribuita, modificata, distrutta, queste informazioni entrano nel record univoco permanente per quell'entità. La stessa registrazione deve essere a sua volta conservata pe un tempo definito, che è ben più lungo di quello della conservazione dell’identità stessa.

La catena di custodia del GDPR

La catena di custodia è essenzialmente una traccia che si applica a un'ampia gamma di informazioni: a quelle riservate, (anche se condivise con terze parti), ma non solo.

A causa dei requisiti del GDPR, ma più in generale come misura di accountability, un’organizzazione dovrebbe essere in grado, in qualsiasi momento, di fornire la prova (misura) di una traccia per i dati trattati; ad esempio: dal consenso per la raccolta, alla raccolta, fino alla distruzione degli stessi. Lo scopo di questa misura è mostrare come i dati sono stati gestiti, ovvero come vengono raccolti, controllati, analizzati, archiviati, condivisi ed eliminati in conformità al GDPR ed alle procedure interne.

La catena di custodia è, quindi, a tutti gli effetti, una misura di accountability utile per: controllo (da parte dei diretti responsabili), audit (sia interno che di seconda parte), ispezione. Ovviamente serve a proteggere la stessa organizzazione dai danni reputazionali e dalle loro conseguenze dirette ed indirette.

La catena di custodia ad esempio protegge dal "bin riding" ovvero dalla ricerca di informazioni (non solo personali) nella spazzatura, un’azione malevole non così difficile da attuare in mancanza di misure mirate.  

Come mettere in pratica la catena di custodia - Essa è una traccia cronologica non alterabile che registra ogni fase del ciclo di vita di un documento, il quale potrebbe coinvolgere anche i fornitori.

Questa registrazione deve dettagliare dove si trova il documento, le persone che vi hanno avuto accesso, la data e la finalità dell’accesso. Nel caso in cui tali attività siano in tutto o in parte demandate ad un fornitore è necessario che egli sia in grado di assicurare la sua capacità di svolgere tali attività anche attraverso audit e controlli, compresi quelli non pianificati. Una catena di custodia efficiente può essere necessaria in caso di indagini forensi, indagini interne, obblighi di conformità e contrattuali.

Gli strumenti per garantire la catena di custodia differiscono per il tipo di supporto:

- per i documenti cartacei: registri manuali, sigilli di sicurezza, sistemi di archiviazione fisica sicura, ecc.;
- per i documenti elettronici: software di gestione documentale, sistemi di log, blockchain per la registrazione immutabile delle transazioni, ecc.

Per proseguire la lettura dell'articolo dell'Ing. Monica Perego - Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy - questo è il link