Misure di sicurezza tra NIS e GDPR: brevi appunti ed alcune semplici riflessioni
Il rapporto tra NIS e GDPR
Il recente ingresso nell’ordinamento italiano della direttiva NIS (“Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”) e del GDPR (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE – regolamento generale sulla protezione dei dati) ha prodotto l’effetto di una certa confusione in materia di ambito applicativo delle relative misure di sicurezza da adottare, confusione che questo breve articolo cercherà di risolvere. Entrambe le normative, infatti, definiscono quale debba essere il processo di corretto trattamento di dati, seppur di diversa natura. A tal riguardo vi prego di considerare il “dato” come una registrazione elementare nella memoria di un computer, priva di una dimensione numerica prestabilita che possa farlo ritenere una precisa unità di misurazione (Questa è la definizione di G. Pica, Diritto penale delle nuove tecnologie, UTET, Torino, 1999, recepita in dottrina, inter alia, da P. Perri, Protezione dei dati e nuove tecnologie aspetti nazionali, europei e statunitensi, Giuffrè, Milano, 2007).
GDPR: oggetto di tutela
Occorre chiarire, in primo luogo, quale sia l’oggetto della tutela del GDPR.
Il Regolamento trova infatti applicazione nei casi di trattamento di dati personali, da intendersi, sulla base dell’art. 4, come qualsiasi informazione riguardante una persona fisica (si badi bene: non giuridica!) identificata o identificabile. Si considera identificabile, ai sensi del GDPR, la persona fisica che possa essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo quale il nome, un numero di identificazione, i dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Per stabilire l’identificabilità di una persona, in conformità al considerando 26 del Regolamento, è opportuno considerare tutti i mezzi di cui il titolare del trattamento o un terzo possa ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi validi per identificare la persona fisica, è necessario prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. Il GDPR, in conseguenza di quanto sopra esposto, non trova applicazione in relazione ad ipotesi di trattamento di dati del tutto anonimi. Il GDPR, è bene precisare, non trova applicazione indistintamente in ogni caso di trattamento di dati personali, non risulta difatti applicabile, in conformità all’art, 2, con riferimento al trattamento di dati:
- effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione Europea;
- effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
- effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico (si pensi alla memorizzazione di un numero di telefono di un amico in agenda);
- effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
Le misure di sicurezza
Il GDPR prevede tra l’altro, in buona sostanza, che chi effettui un trattamento di dati personali – fatte salve le limitazioni sopra descritte – adotti specifiche misure di sicurezza. Ai sensi dell’art. 32, infatti “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
L’oggetto di tutela della direttiva NIS, come attuata dal D. lgs. 65/2018
La Direttiva NIS, come attuata nel nostro ordinamento dal D. lgs. 65/2018, non si prefigge direttamente il compito di assicurare alcuna tutela dei dati personali, ma piuttosto quello di definire obblighi di adozione di specifiche misure di sicurezza volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione Europea. Sono soggetti all’adozione di tali misure, sulla base di quanto definito all’art. 3 del D. lgs., quelli che possono essere considerati “fornitori di servizi critici” e, segnatamente:
- L’operatore di servizi essenziali, da intendersi quale“soggetto pubblico o privato, della tipologia di cui all’allegato II, che soddisfa i criteri di cui all’articolo 4, comma 2” del D. lgs. L’allegato II, a sua volta, con buona approssimazione, include nei servizi essenziali:
- fornitura di energia: elettricità, petrolio e gas;
- trasporto: aereo, ferroviario, marittimo e stradale;
- settore bancario: istituti di credito;
- salute: istituti sanitari;
- infrastrutture proprie dei mercati finanziari: le sedi di negoziazione e le controparti centrali;
- acqua: fornitura di acqua potabile e la relativa distribuzione;
- infrastrutture digitali: Internet Exchange point, fornitori di servizi DNS e registri TLD.
- Il fornitore di servizio digitale, da intendersi quale “qualsiasi persona giuridica che fornisce un servizio digitale” definito come “servizio ai sensi dell’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio, del 9 settembre 2015, di un tipo elencato nell’allegato III”. L’allegato III a sua volta, ricomprende:
- il Mercato online;
- i Motori di ricerca;
- i Servizi di cloud.
Le misure di sicurezza
Gli operatori di servizi essenziali, in conformità all’art. 12 del D. lgs., devono adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure devono assicurare un livello di sicurezza delle reti e dei sistemi informativi adeguato al rischio esistente. Gli operatori di servizi essenziali devono altresì adottare misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi. Nell’adozione delle sopraccitate misure questi devono tenere conto delle linee guida predisposte dal gruppo di cooperazione, composto da rappresentanti degli Stati membri, della Commissione europea e dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA), nonché di specifiche linee guida redatte dalle autorità competenti NIS – le autorità competenti per settore definite all’art. 7 del D. lgs. – in tema di notifica delle violazioni. Queste ultime autorità, possono inoltre, ove necessario, definire specifiche misure di sicurezza, sentiti gli operatori di servizi essenziali.
Per quanto concerne i fornitori di servizi digitali, che non siano micro o piccole imprese, questi – sulla base di quanto definito dall’art. 14 del D. lgs, devono identificare ed adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano. Tenuto conto delle conoscenze più aggiornate in materia, tali misure devono assicurare un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:
- la sicurezza dei sistemi e degli impianti;
- trattamento degli incidenti;
- gestione della continuità operativa;
- monitoraggio, audit e test;
- conformità con le norme internazionali.
I fornitori di servizi digitali devono adottare, infine, misure per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi del fornitore di servizi digitali sui servizi di cui all’allegato III del D. lgs., offerti all’interno dell’Unione europea, al fine di assicurare la continuità di tali servizi. I fornitori di servizi digitali sono infine tenuti ad adottare le disposizioni di attuazione degli atti di esecuzione della Commissione europea che specificano ulteriormente le misure tecnico-organizzative sopraccitate.
Brevi riflessioni finali
GDPR e NIS sono due normative volte a tutelare differenti beni giuridici, ma potrebbero risultare, nella pratica, parzialmente sovrapponibili. Non è possibile escludere, infatti, che attacchi a sistemi “critici” per lo Stato possano comportare, come effetto, un trattamento illecito di dati personali.
Per quanto concerne le misure di sicurezza assistiamo ad un approccio, a livello metodologico, dicotomico. Se da una parte il GDPR pone in essere quella che è stata definita da parte della dottrina una “enfatizzazione del ruolo del titolare”, (S. Bonavita, R. Pardolesi, “GDPR e diritto alla cancellazione in Danno e responsabilità, n. 3/2018, Ipsoa) assegnandogli l’onere e l’onere di definire quali misure di sicurezza debbano essere adottate, il D. lgs. pare consentire, di fatti, all’Autorità di imporre specifiche misure di sicurezza, misure, che in ogni caso, devono essere definite “tenuto conto delle conoscenze più aggiornate in materia”, a differenza di quelle da adottare nel caso di trattamento dei dati personali, da valutarsi “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Analizzando il dato testuale parrebbe pertanto essere necessario, per i “fornitori di servizi critici”, l’adozione di misure che potrebbero essere più elevate rispetto a quelle previste nel caso di trattamento di dati personali. In questo scenario, inoltre, andrebbe altresì considerata la giurisprudenza dell’Autorità Garante, la quale in passato ha difatti imposto ai titolari l’adozione di misure allorché non espressamente previste dal dettato normativo. Il panorama è destinato ad assumere ulteriori elementi di complessità considerando la Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, recepita dal Decreto legislativo, 11/05/2018 n. 63, la quale potrebbe spingere soggetti desiderosi di tutelare il loro know-how riservato all’adozione di misure di sicurezza che potrebbero anche essere in contrasto con le normative sopra analizzate.
Uno scenario di questo tipo comporta, concretamente, l’esigenza da parte delle società coinvolte nei sopraccitati trattamenti, di rivedere, a livello di processo, le misure di sicurezza adottate, valutando l’opportunità di declinare la tutela del dato a seconda delle informazioni delle quali questo è portatore.
Articolo a cura di Simone Bonavita
Simone Bonavita è research presso l’ISLC - Information Society Law Center Centro di Ricerca Coordinato in "Information Society Law" dell'Università degli Studi di Milano - Si è formato prima presso l’Università degli Studi di Milano, laureandosi in scienze giuridiche ed in giurisprudenza con tesi specialistiche in materia di privacy e nuove tecnologie e perfezionandosi in indagini digitali. Successivamente presso l’ALMA Mater - Università di Bologna ha conseguito il Master in Diritto delle nuove tecnologie ed Informatica Giuridica ed il Dottorato di ricerca in Diritto delle nuove tecnologie ed Informatica Giuridica (CIRSFID) sotto la guida del prof. G. Sartor. Nel corso del 2017 è stato Visiting Fellow all’European University Institute (EUI) di Firenze e docente del corso di perfezionamento in privacy & computer forensics dell’Università di Milano.. Svolge la propria attività professionale quale Avvocato del foro di Milano presso lo studio Perani Pozzi Associati. La sua attività professionale, principalmente stragiudiziale, si concentra essenzialmente nel settore del diritto delle nuove tecnologie ed in particolare nella data governance. Presente come relatore a convegni e seminari, è autore di numerose pubblicazioni aventi ad oggetto il diritto delle nuove tecnologie, il trattamento dei dati personali e la responsabilità degli ISP.