Disaster Recovery, “il nuovo Codice dell’amministrazione digitale minaccia la privacy”

Home PA Digitale Sicurezza Digitale Disaster Recovery, “il nuovo Codice dell’amministrazione digitale minaccia la privacy”

E’ indispensabile, una norma, anche semplificata, che si occupi di disaster recovery e continuità operativa tenendo presente quanto sostenuto dal Garante Privacy, contrario all’abolizione dell’articolo 50 del CAD

24 Giugno 2016

M

Michele Iaselli, Ministero della Difesa e docente di informatica giuridica presso la LUISS

Il recente parere del Garante per la protezione dei dati personali, risalente al 9 giugno 2016, sullo schema di decreto legislativo recante Modifiche ed integrazioni al Codice dell’amministrazione digitale ripropone in modo direi preoccupante la delicata tematica della sicurezza in ambito amministrazione digitale. Difatti l’Autorità sottolinea l’inopportunità della prevista abrogazione dell’articolo 50-bis CAD, (v. art. 64, comma 1, lett. g), dello schema di decreto), ritenendo che la sua soppressione, non accompagnata da una norma transitoria o dall’introduzione di una norma con analoghe finalità, possa costituire “un grave vulnus alla protezione dei dati personali trattati dai soggetti pubblici precedentemente tenuti all’adozione di procedure di disaster recovery e di continuità operativa”.

In effetti il problema si pone avuto riferimento al concetto di sicurezza in generale e preoccupa la superficialità con cui il legislatore tenti di sradicare radicalmente dall’impianto normativo una disposizione così importante senza fornire alcuna spiegazione.

Anche se l’art. 50-bis prevede una procedura piuttosto complessa e certamente suscettibile di semplificazione e di alleggerimento, come giustamente sostiene l’Autorità, le finalità sono del tutto condivisibili e in linea con le previsioni in tema di misure di sicurezza di cui agli artt. 31 – 36 del Codice e al Disciplinare tecnico allegato al medesimo Codice. C’è da aggiungere che le finalità di tale disposizione sono perfettamente coerenti anche con quanto previsto in tema di sicurezza dal Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016. In particolare il provvedimento comunitario contiene un chiaro riferimento alle misure di sicurezza già all’art. 22 quando chiarisce che il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability). Mentre, più nello specifico, l’art. 32 del Regolamento ne parla a proposito della sicurezza del trattamento.

Tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
  • una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Ovviamente in materia di sicurezza assume notevole rilevanza anche l’art. 35 del Regolamento quando parla di valutazione d’impatto sulla protezione dei dati. Tale attività deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

La valutazione deve contenere almeno:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l’interesse legittimo perseguito dal titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati (prescrizione propria dell’abrogato DPS del nostro Codice);
  • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Inoltre la valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei seguenti casi:

  • quando vi sia una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata sul trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono allo stesso modo significativamente su dette persone fisiche;
  • il trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  • la sorveglianza sistematica di una zona accessibile al pubblico su larga scala.

Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili si dovrà tenere conto, anche, del rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

Appare, quindi, evidente come in un quadro così esauriente in tema di sicurezza sia perfettamente conciliabile, anzi indispensabile una norma, anche semplificata, che si occupi di disaster recovery e continuità operativa tenendo presente quanto sostenuto dal Garante e cioè che le previsioni sul disaster recovery si applicano a qualsiasi banca dati, ai sensi dell’art. 34 del Codice e della Regola 18 del Disciplinare tecnico, mentre le procedure di continuità operativa sono richieste, nel caso di trattamento di dati sensibili o giudiziari, dalla regola 23 secondo la quale “sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.”