Ecco perché il 2016 è un giro di boa per la normativa di sicurezza e privacy

Sono trascorsi già quasi cinque mesi dalla pubblicazione in Gazzetta Ufficiale dell’UE del Regolamento 679/2016 (Regolamento Generale sulla Protezione dei Dati – RGPD). La scadenza del prossimo 25 maggio 2018 (quando il RGPD sarà pienamente applicabile) è sempre più vicina, vicinissima se si considera che alcuni importanti adeguamenti che il nuovo RGPD richiede ad aziende e pubbliche amministrazioni sono rilevanti e richiedono stravolgimenti dei processi interni al fine di attuare le misure tecniche ed organizzative necessarie per rimediare ai gap individuati.

D’altronde, non è semplice spazzar via venti anni di applicazione della attuale disciplina. E di ciò s’è avveduto anche il Legislatore europeo che, sebbene il Regolamento, in quanto tale, non abbia bisogno di recepimento, ha conferito agli Stati membri la possibilità di introdurre proprie normative interne a completamento del testo del Regolamento, oltre che mantenere validi ed efficaci tutti i provvedimenti delle Autorità garanti nazionali.

Ciononostante, nelle more del Legislatore nazionale, aziende e PA devono immediatamente porre la tematica del trattamento, della protezione e della sicurezza dei dati tra le priorità del management ed avviare senza indugio ogni attività necessaria all’adeguamento che dovrà orientarsi sempre più ad una adeguata strutturazione dei processi e sempre meno a quello documentale (informative, policy ecc.).

In particolare, aziende e PA devono iniziare a riflettere sulla concreta attuazione del principio di accountability, che comporterà un totale rovesciamento della precedente prospettiva voluta dalla disciplina che decadrà, tutta basata sui diritti dell’interessato. Ciò significa che imprese e PA dovranno essere in grado di dimostrare, soprattutto ad Autorità di controllo e interessati, di aver adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati, e che le attività di trattamento sono conformi alle previsioni del nuovo Regolamento. Questa “dimostrazione”, che incombe su titolare, co-titolare e responsabile del trattamento, potrà essere soddisfatta attraverso alcuni strumenti che lo stesso RGPD indica. Anzitutto il registro di tutte le attività di trattamento effettuate, che deve contenere, tra l’altro, una descrizione delle misure di sicurezza adottate e, inoltre, per particolari tipologie di trattamento, la valutazione d’impatto e l’analisi del rischio da cui possono emergere criticità e rischi derivanti dai trattamenti.

Nelle realtà complesse, come quelle private che operano su larga scala, ovvero su di una notevole quantità di dati a livello sovranazionale, ma non di meno nelle PA, soprattutto centrali, tutte le attività di trattamento necessiteranno di una figura specialistica e altamente qualificata che possa governare al meglio tutta la materia. Motivo per cui il RGPD introduce la figura del Data Protection Officer (DPO o Responsabile della protezione dei dati) che, in piena indipendenza, avrà il compito di coadiuvare il titolare e il responsabile del trattamento nell’applicazione degli obblighi che discendono dalla legge, oltre che fungere da punto di contatto dell’organizzazione con le Autorità di controllo e gli interessati.

Le funzioni che il RGPD attribuisce al DPO sono ampie al punto in cui nelle realtà complesse non sarà sufficiente un singolo soggetto ma un team di esperti, prevalentemente in ambito informatico e giuridico, che risponda al DPO (i gruppi imprenditoriali possono nominare un unico DPO).

Per le pubbliche amministrazioni la nomina del DPO è obbligatoria e, al di là di quanto previsto dal RGPD, le PA possono rifarsi anche al modello di DPO previsto dal Regolamento UE 45/2001 che lo ha reso obbligatorio nell’ambito del trattamento di dati da parte delle Istituzioni europee.

In questo quadro, qui sinteticamente delineato, alla PA italiana è richiesto poi un sforzo ulteriore perché questa, nel corso degli anni, si è dotata di una pluralità di sistemi informativi, rigidi e isolati, che elaborano, quindi trattano, dati parziali, che non si integrano fra loro. Sistemi forniti per lo più da aziende private che potrebbero porre la PA nell’impossibilità di attuare un altro importante e nuovo principio del RGPD: l’interoperabilità, ovvero la possibilità di poter convertire, in ogni momento e senza aggravi di costo, la tecnologia alla base del sistema informativo in uso estraendo da essi i dati.

Il Legislatore sembra inoltre aver definitivamente compreso che per aziende e PA il problema non è “se” ma “quando” si subirà un attacco informatico (dalle conseguenze più o meno dannose), e quali sono gli impatti conseguenti (Cfr. Rapporto Clusit 2016 sulla sicurezza ICT in Italia). Per tale motivo ha esteso l’obbligo di notifica di una violazione di dati a tutti i titolari del trattamento che, all’atto pratico, consentirà anche l’analisi e la creazione di un archivio centralizzato degli attacchi informatici su larga scala, quindi un coordinamento nazionale ed europeo per informare su eventuali azioni difensive urgenti da intraprendere.

Nel 2018, qualche mese prima della scadenza prevista dal RGPD, l’Italia dovrà anche recepire la Direttiva NIS (Network and Information Security) che definisce le misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’UE. I contenuti della Direttiva si sovrappongono e rafforzano in parte a quelli del RGPD. La Direttiva chiede agli Stati membri di obbligare le amministrazioni pubbliche all’adozione di appropriate misure tecniche e organizzative per la gestione dei rischi per la sicurezza delle reti e dei sistemi informativi che controllano e utilizzano nelle loro operazioni per garantire un livello di sicurezza adeguato al rischio esistente. In particolare, chiede che vengano prese misure per prevenire e ridurre al minimo l’impatto degli incidenti che interessano la rete e il sistema di informazione sui servizi di base e, quindi, garantire la continuità dei servizi sostenute da tali reti e sistemi informativi.

Il 2016 è un giro di boa, la decisiva virata del Legislatore sul tema della sicurezza informatica. Queste e altre tematiche verranno illustrate nei webinar di FPA Academy che si terranno i prossimi 22 novembre e 6 dicembre.