Sicurezza informatica e Privacy da Maggio 2018
In attesa del provvedimento di recepimento Italiano, evidenziamo le principali modifiche alla previgente normativa che consistono in:
Informativa: deve essere concisa, trasparente, intellegibile e facilmente accessibile. Deve indicare come saranno utilizzati i dati, se saranno condivisi con altri soggetti, la durata della conservazione nelle banche dati, i dati di contatto con il RPD - Responsabile della protezione dei dati. (l’obbligo c’era anche prima, va solo rivisto)
Consenso: il consenso deve essere prestato liberamente e in modo esplicito (invalidità del silenzio tacito o presunto), è revocabile in qualsiasi momento e il titolare del trattamento è obbligato a cancellare tutti i dati raccolti. Il consenso per i minori di 16 anni deve essere espresso dai genitori o da chi esercita la responsabilità genitoriale. (l’obbligo c’era anche prima, va reso più esplicito)
Diritto di rettifica: l'interessato può ottenere la rettifica dei dati inesatti e l'integrazione di quelli incompleti. (c’era anche prima)
Diritto di oblio: l’interessato può ottenere la cancellazione dei propri dati personali e il titolare del trattamento ha l’obbligo di cancellarli, se tali dati non sono più necessari per le finalità per le quali sono stati raccolti. (non vedo il problema)
Conservazione dei dati: non potrà più essere illimitata nel tempo e il periodo di conservazione sarà proporzionato alle finalità per le quali è stato richiesto il consenso. (basta prevedere un termine che può essere 10 anni, dopodiché si cancellano i dati)
Portabilità dei dati: limitatamente ai trattamenti automatizzati, gli interessati possono ottenere il trasferimento diretto dei propri dati personali da un titolare del trattamento ad altro titolare. (rilevante se siete un grande operatore dati)
Registro delle attività di trattamento: dovranno essere registrati i nomi e i dati di contatto del titolare del trattamento, del responsabile del trattamento e del responsabile della protezione dati e le finalità del trattamento. Analogo registro deve essere tenuto dal responsabile del trattamento. A determinate condizioni, sono esonerate dall’obbligo di tenuta di questi registri le imprese e le organizzazioni con meno di 250 dipendenti.
RPD-Responsabile della protezione dei dati: è introdotta la nuova figura del Responsabile Protezione Dati, non sempre necessaria soprattutto se non si trattano dati sensibili, con funzione di supporto e vigilanza sulla corretta applicazione delle norme;
E' invece obbligatorio l’utilizzo di strumenti informatici a protezione dei dati: password, antivirus, firewall, backup con prova di ripristino o clone (basta un bravo tecnico).
La cornice di riferimento sulla cybersecurity è costituita dai due regolamenti e dalle due direttive entro le quali si collocheranno tutte le leggi e le applicazioni nazionali
– il Regolamento n. 679/2016, Regolamento Generale sulla Protezione dei Dati (RGPD), entrato in vigore il 24 maggio scorso, applicabile dal 24 maggio 2018, che sostituisce la Direttiva 95/46/CE;
– il Regolamento n. 910/2014, Regolamento Electronic Identification Authentication and Signature (Regolamento EIDAS), entrato in vigore il 17 settembre 2014, applicabile dallo scorso primo luglio, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, che sostituisce il quadro normativo definito dalla Direttiva Europea 1999/93/EC sulle firme elettroniche e dalle relative leggi nazionali di recepimento;
– la Direttiva n. 680/2016, entrata in vigore il 24 maggio scorso, sul trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, che abroga la decisione quadro 2008/977/GAI del Consiglio;
– la Direttiva n. 1148/2016, Direttiva Network and Information Security (Direttiva NIS), entrata in vigore l’8 agosto scorso, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.
Il Legislatore si è impegnato affinché i contenuti delle succitate disposizioni siano efficaci, funzionino nella pratica e perdurino almeno una generazione. Le disposizioni sono dense di riferimenti tecnico-informatici, affrontano le sfide imposte dalle nuove tecnologie nella protezione dei dati e sicurezza dei sistemi e delle reti. Sono norme complesse, che richiedono la consulenza di esperti, non solo in questioni giuridiche ma delle complesse problematiche di compliance.
Il RGPD ed il Regolamento EIDAS, in quanto tali, non necessitano di recepimento. Il Regolamento EIDAS è già applicabile, il RGPD lo sarà dal 25 maggio 2018. Diversamente, invece, la Direttiva NIS e la Direttiva 680/2016 dovranno essere recepite con una legge nazionale, e ciò avverrà sempre entro i primi mesi del 2018.
Dal maggio 2018 in avanti avremo quindi un’ampia cornice normativa di riferimento sulla sicurezza informatica, costituta dai due regolamenti e dalle due direttive, entro la quale si collocheranno tutte le leggi a completamento e recepimento delle stesse.
Le simmetrie ed i parallelismi tra i vari testi sono evidenti e confermano l’orientamento univoco adottato dal Legislatore europeo nell’affrontare la tematica della sicurezza informatica. Per capirlo è sufficiente leggere i quattro articoli che in ognuno dei quattro testi si occupano della definizione delle misure di sicurezza. Tutti fanno riferimento all’obbligo di adozione di misure tecniche e organizzative “appropriate” (EIDAS e Direttiva NIS) e “adeguate” (RGPD e Direttiva 680) per “gestire i rischi legati alla sicurezza dei servizi fiduciari prestati” (EIDAS) e per “garantire un livello di sicurezza adeguato al rischio” (RGPD, Direttiva 680 e Direttiva NIS). Ma di analogie dirette ve ne sono molte anche su altri fronti, per esempio in relazione alla notifica di una violazione (prevista sia Regolamento EIDAS che dal RGPD). Entrambi fanno riferimento all’obbligo di notifica all’autorità competente, quindi ad un “organismo di vigilanza” (EIDAS) ed ad una “autorità di controllo” (RGPD) delle violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi. Notifica (comunicazione) che dev’essere effettuata anche alla “persona fisica o giuridica” (EIDAS) e agli “interessati” (RGPD), se per tali soggetti sussistono “effetti negativi” (EIDAS) e un “rischio per i loro diritti e le loro libertà” (RGPD). Sul termine entro il quale la notifica dev’essere effettuata alle autorità competenti l’EIDAS prevede 24 ore mentre il RGPD ne prevede 72, in entrambi i casi da quando si è venuti a conoscenza della violazione. L’UE si è quindi concentrata su disposizioni davvero necessarie ed ha evitato dettagli che avrebbero potuto interferire con le tecnologie future. I testi raccomandano la chiarezza e la comprensibilità in materia di sicurezza informatica e sono una rara dimostrazione di coerenza e uniformità legislativa e quindi una opportunità per i destinatari che devono si applicare diverse norme ma per fortuna omogenee, univoche e chiare al fine di attuare una protezione dei dati e dei sistemi efficace che conferisce potere al singolo e stimola aziende e autorità pubbliche alla responsabilizzazione. In questo quadro, alla PA è richiesto poi uno sforzo ulteriore perché questa, nel corso degli anni, si è dotata di una pluralità di sistemi informativi rigidi e isolati, non adeguatamente protetti, che elaborano e trattano dati parziali che non si integrano fra loro. Sistemi forniti per lo più da aziende private che potrebbero porre la PA nell’impossibilità di attuare un importante e nuovo principio del RGPD: l’interoperabilità, ovvero la possibilità di poter convertire in ogni momento e senza aggravi di costo, la tecnologia alla base del sistema informativo in uso estraendo da essi i dati.