L'APPROFONDIMENTO

Privacy e cyber security, ecco le norme e le misure per proteggere i dati

Occupandosi di data protection non bisogna trascurare la cyber security, per evitare di mettere a rischio la privacy degli interessati: il GDPR, oltre alle precedenti normative comunitarie, prevede infatti l’adozione di adeguate misure da implementare

07 Set 2020
C
Claudio Colacicco

Trainee Lawyer - Cybersecurity & IT


Senza un’adeguata attenzione alla tematica della cyber security non è possibile garantire la privacy degli utenti di un determinato sistema. Anzi, molto spesso le misure di sicurezza informatica adottate a livello tecnico, sono rivolte proprio a scongiurare i rischi privacy related.

In tale ottica, la cyber security diventa lo strumento mediante il quale garantire diritti e libertà fondamentali dell’individuo, strettamente connessi alla propria dignità. Approfondiamo perché e vediamo cosa prevede la normativa al riguardo.

Privacy e cyber security: le norme comunitarie

A livello comunitario, il cardine della politica di sicurezza dei dati fu posto dall’art. 17 della Direttiva 95/46/CE (recepita nel nostro ordinamento dalla Legge n. 675/1996), che per la prima volta ha dettato una disciplina uniforme per il trattamento dei dati personali all’interno dell’Unione Europea.

Tale articolo, in particolare, ha sancito l’obbligo per il titolare del trattamento di attuare misure tecniche ed organizzative idonee ad assicurare la protezione dei dati personali dai rischi di distruzione accidentale o illecita, perdita accidentale, alterazione, diffusione o accesso non autorizzato, e da qualsiasi altra forma illecita di trattamento.

L’art. 17 ha costituito la base per l’emanazione del primo corpus normativo concernente le misure di sicurezza nel nostro ordinamento, costituito dagli artt. 15-18 della Legge n. 675/1996 e dal successivo D.P.R. n. 318/1999. Tuttavia, rispetto a quanto previsto dalla Direttiva 95/46/CE, a livello nazionale permanevano due sostanziali differenze:

  1. Mentre la Direttiva 95/46/CE si riferiva esclusivamente ad un’unica categoria di misure di sicurezza (misure appropriate), il nostro legislatore ha ritenuto fin da subito di operare una distinzione fra misure minime e misure idonee di sicurezza, distinzione ripresa successivamente anche dal D.lgs. n. 196/2003.
  2. Il nostro legislatore non aveva inizialmente preso in considerazione il parametro comunitario dei costi di applicazione, che consentiva di orientare l’adeguatezza del livello di sicurezza ai costi delle misure protettive, comportando tale scelta dunque, una maggiore onerosità nell’attuazione concreta delle misure di sicurezza. Al riguardo, tale parametro, insieme a quello della valutazione del rischio, è stato successivamente previsto dal D.lgs. n. 196/2003, all’art. 32, in materia di obblighi di sicurezza rivolti ai fornitori di comunicazione elettronica accessibile al pubblico ed ai fornitori della rete pubblica di comunicazione.

Prima di andare ad analizzare maggiormente nel dettaglio le misure di sicurezza di cui agli artt. 31-36 e dell’Allegato B) del Codice della Privacy, pare tuttavia opportuno fare una premessa. Nel periodo antecedente all’emanazione del D.lgs. n. 196/2003, gli obblighi in materia di sicurezza nel trattamento dei dati personali erano previsti, come già detto, in generale dagli artt. 15-18 della L. n. 675/1996, nello specifico, dal successivo D.P.R. n. 318/1999.

Rispetto a questi ultimi, il Codice della Privacy si era posto in una prospettiva di tipo evolutivo, piuttosto che di totale rottura, sancendo all’art. 180, comma 1, che le nuove misure di sicurezza, non previste dal D.P.R. n. 318/1999, fossero adottate entro il 30 giugno 2004, dando dunque per scontata l’implementazione delle precedenti misure.

Il Codice della Privacy dunque, partì da esse, come base necessaria per creare una struttura più articolata per la protezione e la sicurezza dei dati, riuscendo in tal modo a centrare l’obiettivo di fornire alle precedenti misure un carattere maggiormente precettivo. In particolare, gli aspetti maggiormente innovativi previsti dalla nuova normativa in materia di sicurezza nel trattamento dei dati furono:

  1. Semplificazione. Le categorie precedentemente individuate dal D.P.R. n. 318/1999 vengono semplificate, sia a livello operativo, sia per quanto riguarda l’individuazione dei soggetti preposti alla sicurezza.
  2. Novità. Si assiste al recepimento a livello nazionale della normativa tecnica altamente specialistica ISO/IEC 17799:2000, delle Linee Guida OCSE e della Direttiva 2002/58/CE.
  3. Progettualità. L’approccio alla sicurezza adottato dal D.lgs. n. 196/2003 è di tipo progettuale, non meramente implementativo. Ciò significa che la sicurezza viene vista per la prima volta più come un processo che come un prodotto. La conseguenza è uno spostamento dell’attenzione verso il singolo utente: si tende dunque a favorire gli investimenti sulla formazione dei responsabili e degli incaricati al trattamento dei dati con o senza l’ausilio di strumenti elettronici, predisponendo anche policy di comportamento ad hoc aggiornate periodicamente.

Privacy e cyber security: misure idonee e minime

A livello dottrinario invece, deve ricordarsi il dibattito concernente la già accennata classificazione, fatta propria dal legislatore italiano e ad oggi superata, fra misure di sicurezza minime ed idonee. Innanzitutto, bisogna premettere che tale distinzione si poneva solamente sul piano giuridico, non interessando invece la comunità scientifica tecnico-informatica, per la quale era sostanzialmente indifferente il fatto che si parlasse di misura di sicurezza idonea o minima, rilevando, in tale contesto, esclusivamente la misura di sicurezza in sé.

In ambito giuridico, al contrario, il fatto che una determinata misura di sicurezza fosse classificata come idonea o minima, determinava un diverso regime di responsabilità nel caso di sua mancata adozione.

Da una parte infatti, l’art. 169, comma 1 del Codice della Privacy, ad oggi abrogato dal D.lgs. n. 101/2018, stabiliva che in caso di mancata adozione delle misure minime di cui all’art. 33, il titolare, il responsabile e l’incaricato del trattamento, potessero andare incontro ad una responsabilità di tipo penale. In caso di mancata adozione delle misure idonee invece, si applicava l’art. 15, comma 1 (abrogato dal D.lgs. n. 101/2018), che faceva sorgere un obbligo risarcitorio ex art. 2050 c.c., con la conseguenza che l’unico modo di evitare il risarcimento per il responsabile del trattamento, era quello di provare di aver adottato tutte le misure idonee ad impedire il verificarsi del danno.

La ratio di tale regime differenziato di responsabilità era da ricondursi, anche nel periodo antecedente all’emanazione del Codice, alla maggiore esposizione al rischio causata dalla mancata applicazione delle misure minime rispetto alla mancata adozione di quelle idonee.

Per tracciare una linea di demarcazione fra le misure idonee e quelle minime, bisogna tener presente il dettato del previgente art. 31 del D.lgs. n. 196/2003, il quale, in relazione alle prime, ne prevedeva la preventiva adozione in base: alle conoscenze acquisite tenendo conto del progresso tecnico, alla natura dei dati oggetto di trattamento ed alle specifiche caratteristiche del trattamento, ossia se effettuato mediante mezzi elettronici o meno.

Dunque, la categoria delle misure idonee e preventive era costituita da tutte quelle misure da adottare in via generale, in aggiunta a quelle specificamente previste dal legislatore. In particolare, il riferimento al progresso tecnico, risultava essere di cruciale importanza, in quanto non avendo il legislatore individuato in maniera diretta le misure idonee, così facendo ne garantiva comunque l’aggiornamento in automatico, non essendo possibile del resto, pretendere di riunire e di aggiornare in modo repentino tutte le possibili misure di sicurezza.

Le misure idonee dunque, potevano agevolmente individuarsi seguendo i principi informatici alla base della cyber security: riservatezza, autenticazione, integrità, non ripudio, controllo dell’accesso, e infine disponibilità. Tali principi, trovavano infatti piena attuazione nell’art. 31, laddove si disponeva che dovessero essere ridotti al minimo i rischi di distruzione o perdita dei dati, anche in via accidentale, di accesso non autorizzato, o di trattamento non consentito o non conforme alle finalità della raccolta.

Gli artt. 33-36, invece, recavano la disciplina delle misure minime di sicurezza, per l’individuazione specifica delle quali tuttavia, era necessario far riferimento all’Allegato B del Codice. Dunque, i titolari dei trattamenti, salvo ulteriori obblighi, dovevano in ogni caso rispettare, anche in questo caso, in via preventiva, tali previsioni legislative, le quali miravano ad assicurare uno standard minimo di sicurezza, al di sotto del quale non poteva ritenersi sussistente un adeguato livello di protezione sui dati personali trattati.

La mancata adozione preventiva di tali misure, come già detto, comportava una responsabilità penale ai sensi del previgente art. 169, comma 1, costituendo una vera e propria fattispecie omissiva propria, con la conseguenza che la sola omissione era sufficiente ad integrare l’illecito.

WEBINAR
Machine Learning, Analytics e hybrid cloud a supporto della Cybersecurity. Ecco come in un webinar
Big Data
Intelligenza Artificiale

Tuttavia, vi è da dire che il comma 2 del medesimo articolo prevedeva, data la natura per così dire “contravvenzionale” di tale reato, una specifica ipotesi di estinzione di quest’ultimo, subordinata ad un facere da parte del contravvenente. In particolare, l’Autorità Garante per la protezione dei dati personali aveva il potere di impartire prescrizioni finalizzate alla messa in sicurezza del sistema, e di stabilire il pagamento in misura ridotta di una somma pari ad un quarto del massimo dell’ammenda stabilita al primo comma.

Il soddisfacimento o meno di tali due condizioni, veniva comunicato dal Garante alla Procura della Repubblica competente, determinando, in caso di esito positivo del procedimento, l’estinzione del reato. Il D.lgs. n. 101/2018 ha abrogato anche l’Allegato B del Codice della Privacy, nel quale era contenuto il Disciplinare tecnico in materia di misure minime di sicurezza. In breve, tale Allegato, specificando i contenuti, rispettivamente, degli artt. 34 e 35 del D.lgs. n. 196/2003, distingueva fra le misure da adottare nell’ambito dei trattamenti a mezzo di strumenti elettronici, e quelle da adottare nell’ambito dei trattamenti posti in essere senza l’ausilio di questi ultimi.

Privacy e cyber security: cosa prevede il GDPR

A partire dal 25 maggio 2018, il Regolamento UE n. 679/2016 (c.d. Regolamento GDPR) costituisce la nuova fonte primaria di riferimento per la disciplina in materia di protezione dei dati personali. Al fine di assicurare l’adeguamento della previgente normativa nazionale, il legislatore, piuttosto che procedere ad un’espunzione totale dall’ordinamento del D.lgs. n. 196/2003, ha ritenuto di modificarne ed abrogarne la disciplina solamente in parte.

Il nuovo Regolamento fornisce un quadro di regole più precise e rigorose rispetto alla precedente Direttiva 95/46/CE, che tiene conto delle più attuali problematiche e dei nuovi rischi per la privacy portati dall’evoluzione tecnologica, e garantisce una migliore armonizzazione delle legislazioni nazionali a livello comunitario.

Fra le novità maggiormente significative in tema di sicurezza, una particolare menzione merita il Data Protection Impact Assessment (DPIA, art. 35), uno strumento che consente di effettuare precise e puntuali valutazioni preliminari circa i rischi sottesi alle varie attività sui dati, prima del loro trattamento.

Tali analisi possono riguardare tanto il singolo trattamento, quanto più trattamenti insieme, che tuttavia devono presentare determinati aspetti in comune fra loro. Inoltre, a ben vedere, la DPIA costituisce lo strumento principe per l’attuazione sul piano concreto del principio di accountability, rendendo più agevole, per il titolare del trattamento, la dimostrazione della conformità alle norme del GDPR.

La DPIA si rende necessaria, a norma dell’art. 35, ogniqualvolta dal trattamento possa conseguire un rischio elevato per i diritti e le libertà delle persone interessate, anche durante un trattamento già in corso di esecuzione, qualora si verifichi un mutamento nelle finalità di quest’ultimo o una modifica dei dati stessi che comporti una maggiore percentuale di rischio.

Oggetto della valutazione sono l’origine, la natura, la particolarità e la gravità del rischio per la protezione dei dati. La DPIA si articola in due fasi: una prima fase interna, in cui il titolare esegue una valutazione interna, ed una seconda fase eventuale ed esterna, nella quale, dopo aver identificato un rischio potenzialmente elevato, il titolare deve consultarsi con l’Autorità di controllo (in Italia, il Garante Privacy; al riguardo, si veda l’art. 36 GDPR). Se designato inoltre, il titolare del trattamento deve consultarsi anche con il responsabile per la protezione dei dati (c.d. Data Protection Officer – DPO).

Infine, l’osservanza degli obblighi concernenti la DPIA, è presidiata da un imponente sistema sanzionatorio, dato che, in caso di inadempimento, sono previste sanzioni pecuniarie fino ad un massimo di 10 milioni di euro, o, nel caso di imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art. 83, punto 4, lett. a). Gli artt. 37-39 del GDPR introducono poi la figura del DPO (Data Protection Officer), ossia del Responsabile della protezione dei dati, un soggetto incaricato di assicurare la gestione corretta dei dati personali nelle imprese e negli enti.

Prima del GDPR, nella maggior parte degli Stati europei non era prevista la figura del DPO, ad eccezione della Germania, la cui legge sulla protezione dei dati aveva introdotto l’obbligo di nominarne uno oltre trent’anni fa.

Il ruolo del DPO

Il DPO, come introdotto dal GDPR, è destinato a svolgere un ruolo chiave per assicurare il raggiungimento della conformità al nuovo Regolamento. In particolare, la nomina del DPO è obbligatoria per tutte le PA ed enti pubblici, ad eccezione dell’autorità giudiziaria, nonché per tutti gli altri soggetti privati (enti ed imprese) che trattano su larga scala dati sensibili, o che effettuano trattamenti che richiedono un controllo regolare e sistematico degli interessati.

Da notare come l’obbligo di nominare un DPO sia connesso non tanto alle caratteristiche quantitative del titolare o del responsabile, come ad esempio il numero di dipendenti, ma, al contrario, dipenda dal livello di rischio potenziale per i dati oggetto del trattamento.

Il DPO deve possedere determinati requisiti di professionalità, oltre che un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali. Deve essere inoltre in grado di adempiere alle proprie funzioni (elencate all’art. 39), in piena indipendenza ed in assenza di conflitti di interesse.

L’indipendenza del DPO è garantita dal fatto che l’art. 38, punto 3, dispone che quest’ultimo non possa essere rimosso o penalizzato dal titolare o dal responsabile del trattamento per l’adempimento dei propri compiti. Sempre a garanzia dell’indipendenza e dell’autonomia dell’operato del DPO, il titolare o responsabile del trattamento hanno l’obbligo di consentirgli l’efficace espletamento dei propri compiti, fornendogli adeguate risorse umane, materiali ed economiche.

Nello specifico, il DPO può operare sia come dipendente, sia sulla base di un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento. Completata la designazione, il titolare/responsabile del trattamento, è tenuto a pubblicare i dati di contatto del DPO ed a darne comunicazione all’autorità di controllo (in Italia, come già detto, il Garante della Privacy).

Non bisogna poi dimenticare che l’art. 37, punto 4, consente, in tutti gli altri casi, la nomina volontaria del DPO. I vantaggi di nominare un DPO volontariamente, che da una parte devono essere necessariamente soppesati con gli svantaggi, soprattutto in termini economici, non sono tuttavia sicuramente pochi per tutte quelle entità che si trovano ad elaborare grandi quantità di dati.

In particolare, è conveniente in ogni caso per l’entità di riferimento, procedere alla designazione del DPO quando non sia chiaro se rientri o meno nel campo di applicazione dell’obbligo di nomina di cui all’art. 37, punto 1. Tutto ciò per prevenire l’inadempimento di tale obbligo e l’imposizione delle relative sanzioni.

Fra i compiti più significativi affidati al DPO dall’art. 39 GDPR, si ricordano: lo svolgimento di attività di consulenza al titolare/responsabile ed ai suoi dipendenti in merito alla normativa ed agli obblighi a protezione dei dati personali, tenendo presente sia la disciplina comunitaria che quella nazionale; verificare la corretta attuazione della normativa vigente e delle policy interne del titolare, fra cui anche l’attribuzione delle responsabilità, la formazione del personale e le varie attività di controllo; quando richiesto, deve fornire pareri in ordine alla DPIA, sorvegliandone lo svolgimento; cooperare con il Garante della Privacy, in qualità di autorità di controllo, fungendo, in particolari casi, anche da punto di contatto con quest’ultima.

Infine, bisogna osservare come il DPO non risponda personalmente in caso di inosservanza delle norme del GDPR, in quanto spetta sempre al titolare o al responsabile del trattamento l’onere di assicurarne e dimostrarne il rispetto.

Cyber security nel regolamento europeo

Le maggiori novità per la cyber security, si trovano tuttavia all’interno della Sezione 2 (artt. 32-34) del GDPR, intitolata “Sicurezza dei dati personali”. Avendo il D.lgs. n. 101/2018, come già detto, abrogato la disciplina del Codice della Privacy contenente le misure di sicurezza, attualmente, l’unica disciplina formalmente in vigore è costituita proprio da questi articoli del GDPR. Tali disposizioni dettano una disciplina delle misure di sicurezza di gran lunga meno dettagliata rispetto alla precedente, contenuta nell’Allegato B del Codice della Privacy.

Prima di andare ad analizzarla in maniera più puntuale, occorre chiedersi quale potrebbe essere stata la ratio che ha spinto il legislatore a procedere all’abrogazione integrale degli artt. 31-36 e del suddetto Allegato B del D.lgs. n. 196/2003.

Al riguardo, bisogna tener presente che la logica sottesa alla nuova normativa comunitaria è quella della responsabilizzazione (accountability); da ciò ne deriva che in ogni caso è il titolare del trattamento a dover dimostrare di aver adottato tutte le misure tecniche ed organizzative adeguate al rischio esistente per la protezione dei dati degli interessati, secondo un approccio proattivo e costante.

È facile dunque constatare come, in tale ottica, la dettagliata disciplina delle misure di sicurezza precedentemente recata dall’Allegato B del Codice della Privacy, seppur di per sé non manifestamente incompatibile con le previsioni del GDPR, non sarebbe stata del tutto coerente con lo spirito “responsabilizzatore” della nuova normativa.

Tale ratio si evince anche dal Considerando n. 85, che nel ribadire l’importanza della disciplina volta al contrasto delle violazioni dei dati personali dettata dal GDPR, si riferisce direttamente al nuovo principio di accountability. Dunque, l’art. 32 GDPR, pur elencando una serie di misure tecniche ed organizzative di sicurezza, non effettua una tipizzazione puntuale e specifica come invece precedentemente disposto dall’Allegato B.

Sempre riguardo alle misure di sicurezza bisogna notare poi come con la nuova disciplina comunitaria scompaia del tutto la distinzione precedentemente richiamata fra misure idonee e misure minime di sicurezza, esprimendosi l’art. 32, punto 1 GDPR (del resto in maniera simile alla precedente Direttiva 95/46/CE) solamente in termini di adeguatezza, nello specifico parlando di “misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”.

Importante poi il riferimento esplicito allo stato dell’arte, ai costi di attuazione ed alla natura, all’oggetto, al contesto ed alle finalità del trattamento, che consente dunque di assicurare un costante adeguamento delle misure di sicurezza al livello di rischio effettivamente esistente ed agli sviluppi tecnologici, evitando al contempo l’inutile dispendio di risorse, soprattutto economiche, che ne sarebbe altrimenti conseguito.

Cosa fare in caso di data breach

Infine, il Regolamento GDPR, introduce agli artt. 33-34 una procedura in grado di assicurare, nel caso in cui il titolare del trattamento subisca un data breach, un doppio flusso comunicativo, rispettivamente: verso il Garante della Privacy (art. 33), e nelle situazioni più gravi, verso l’interessato (art. 34).

Nello specifico, l’art. 33 introduce l’obbligo per il titolare del trattamento, di notificare al Garante della Privacy, in qualità di autorità di controllo, ogni violazione dei dati personali che possa presentare rischi per i diritti e le libertà delle persone fisiche, entro 72 ore dalla conoscenza.

La notifica può essere fatta anche successivamente a tale termine, ma in questo caso il titolare dovrà esporre le motivazioni del ritardo. Il responsabile del trattamento invece, ha l’obbligo di informare senza ingiustificato ritardo il titolare della violazione.

Tali obblighi rappresentano una novità per il nostro ordinamento, che in precedenza prevedeva delle differenziazioni temporali rispetto all’ambito di riferimento, più in particolare, 24 ore per i titolari operanti nel settore delle telecomunicazioni, e 48 ore per i titolari operanti nel settore sanitario.

L’art. 34, come già accennato, disciplina l’obbligo, posto in capo al titolare del trattamento, di comunicazione della violazione agli interessati nelle situazioni più gravi, in cui quest’ultima possa comportare un rischio elevato per i diritti e le libertà della persona fisica.

La comunicazione, che presenta un contenuto minimo in parte analogo a quello della notifica di cui all’art. 33, deve tuttavia essere formulata in un linguaggio chiaro e comprensibile per l’interessato. La sua finalità è quella di consentire all’interessato di assumere tempestivamente le precauzioni necessarie a minimizzare il danno. In alcune ipotesi, può essere imposta anche dal Garante della Privacy.

In caso di inadempimento di tali obblighi si applica il medesimo sistema sanzionatorio di cui sopra, ex art. 83, punto 4, lett. a GDPR.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5