Il recente ingresso nell’ordinamento italiano della direttiva NIS (“Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”) e del GDPR (Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE – regolamento generale sulla protezione dei dati) ha prodotto l’effetto di una certa confusione in materia di ambito applicativo delle relative misure di sicurezza da adottare, confusione che questo breve articolo cercherà di risolvere. Entrambe le normative, infatti, definiscono quale debba essere il processo di corretto trattamento di dati, seppur di diversa natura. A tal riguardo vi prego di considerare il “dato” come una registrazione elementare nella memoria di un computer, priva di una dimensione numerica prestabilita che possa farlo ritenere una precisa unità di misurazione (Questa è la definizione di G. Pica, Diritto penale delle nuove tecnologie, UTET, Torino, 1999, recepita in dottrina, inter alia, da P. Perri, Protezione dei dati e nuove tecnologie aspetti nazionali, europei e statunitensi, Giuffrè, Milano, 2007).
Occorre chiarire, in primo luogo, quale sia l’oggetto della tutela del GDPR.
Il Regolamento trova infatti applicazione nei casi di trattamento di dati personali, da intendersi, sulla base dell’art. 4, come qualsiasi informazione riguardante una persona fisica (si badi bene: non giuridica!) identificata o identificabile. Si considera identificabile, ai sensi del GDPR, la persona fisica che possa essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo quale il nome, un numero di identificazione, i dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Per stabilire l’identificabilità di una persona, in conformità al considerando 26 del Regolamento, è opportuno considerare tutti i mezzi di cui il titolare del trattamento o un terzo possa ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi validi per identificare la persona fisica, è necessario prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. Il GDPR, in conseguenza di quanto sopra esposto, non trova applicazione in relazione ad ipotesi di trattamento di dati del tutto anonimi. Il GDPR, è bene precisare, non trova applicazione indistintamente in ogni caso di trattamento di dati personali, non risulta difatti applicabile, in conformità all’art, 2, con riferimento al trattamento di dati:
Il GDPR prevede tra l’altro, in buona sostanza, che chi effettui un trattamento di dati personali – fatte salve le limitazioni sopra descritte – adotti specifiche misure di sicurezza. Ai sensi dell’art. 32, infatti “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
La Direttiva NIS, come attuata nel nostro ordinamento dal D. lgs. 65/2018, non si prefigge direttamente il compito di assicurare alcuna tutela dei dati personali, ma piuttosto quello di definire obblighi di adozione di specifiche misure di sicurezza volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione Europea. Sono soggetti all’adozione di tali misure, sulla base di quanto definito all’art. 3 del D. lgs., quelli che possono essere considerati “fornitori di servizi critici” e, segnatamente:
Gli operatori di servizi essenziali, in conformità all’art. 12 del D. lgs., devono adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure devono assicurare un livello di sicurezza delle reti e dei sistemi informativi adeguato al rischio esistente. Gli operatori di servizi essenziali devono altresì adottare misure adeguate per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi. Nell’adozione delle sopraccitate misure questi devono tenere conto delle linee guida predisposte dal gruppo di cooperazione, composto da rappresentanti degli Stati membri, della Commissione europea e dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA), nonché di specifiche linee guida redatte dalle autorità competenti NIS – le autorità competenti per settore definite all’art. 7 del D. lgs. – in tema di notifica delle violazioni. Queste ultime autorità, possono inoltre, ove necessario, definire specifiche misure di sicurezza, sentiti gli operatori di servizi essenziali.
Per quanto concerne i fornitori di servizi digitali, che non siano micro o piccole imprese, questi – sulla base di quanto definito dall’art. 14 del D. lgs, devono identificare ed adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano. Tenuto conto delle conoscenze più aggiornate in materia, tali misure devono assicurare un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:
I fornitori di servizi digitali devono adottare, infine, misure per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi del fornitore di servizi digitali sui servizi di cui all’allegato III del D. lgs., offerti all’interno dell’Unione europea, al fine di assicurare la continuità di tali servizi. I fornitori di servizi digitali sono infine tenuti ad adottare le disposizioni di attuazione degli atti di esecuzione della Commissione europea che specificano ulteriormente le misure tecnico-organizzative sopraccitate.
GDPR e NIS sono due normative volte a tutelare differenti beni giuridici, ma potrebbero risultare, nella pratica, parzialmente sovrapponibili. Non è possibile escludere, infatti, che attacchi a sistemi “critici” per lo Stato possano comportare, come effetto, un trattamento illecito di dati personali.
Per quanto concerne le misure di sicurezza assistiamo ad un approccio, a livello metodologico, dicotomico. Se da una parte il GDPR pone in essere quella che è stata definita da parte della dottrina una “enfatizzazione del ruolo del titolare”, (S. Bonavita, R. Pardolesi, “GDPR e diritto alla cancellazione in Danno e responsabilità, n. 3/2018, Ipsoa) assegnandogli l’onere e l’onere di definire quali misure di sicurezza debbano essere adottate, il D. lgs. pare consentire, di fatti, all’Autorità di imporre specifiche misure di sicurezza, misure, che in ogni caso, devono essere definite “tenuto conto delle conoscenze più aggiornate in materia”, a differenza di quelle da adottare nel caso di trattamento dei dati personali, da valutarsi “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. Analizzando il dato testuale parrebbe pertanto essere necessario, per i “fornitori di servizi critici”, l’adozione di misure che potrebbero essere più elevate rispetto a quelle previste nel caso di trattamento di dati personali. In questo scenario, inoltre, andrebbe altresì considerata la giurisprudenza dell’Autorità Garante, la quale in passato ha difatti imposto ai titolari l’adozione di misure allorché non espressamente previste dal dettato normativo. Il panorama è destinato ad assumere ulteriori elementi di complessità considerando la Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, recepita dal Decreto legislativo, 11/05/2018 n. 63, la quale potrebbe spingere soggetti desiderosi di tutelare il loro know-how riservato all’adozione di misure di sicurezza che potrebbero anche essere in contrasto con le normative sopra analizzate.
Uno scenario di questo tipo comporta, concretamente, l’esigenza da parte delle società coinvolte nei sopraccitati trattamenti, di rivedere, a livello di processo, le misure di sicurezza adottate, valutando l’opportunità di declinare la tutela del dato a seconda delle informazioni delle quali questo è portatore.
Articolo a cura di Simone Bonavita
I Big Data stanno cambiando le regole del commercio online. Finalmente le aziende possono comprendere…
Dal punto di vista tecnico-operativo, le indagini di digital forensics vengono svolte utilizzando specifici strumenti…
Nell’ambito dell’email security esistono diversi protocolli volti a garantire l'autenticità, l'integrità e la riservatezza delle…
Nel panorama della sicurezza informatica, la minaccia di attacchi fisici tramite dispositivi USB malevoli è…
Come per tutti i problemi complessi con cause molteplici, non esiste una soluzione per il…
In un mondo sempre più connesso e digitalizzato, le innovazioni tecnologiche stanno cambiando radicalmente il…