Il Regolamento sulla Privacy e la Direttiva NIS.

Abstract

Lo scorso anno sono stati emanati il Regolamento 2016/679 del 27 aprile 2016 e la Direttiva 2016/1148 del 6 luglio 2016 del Parlamento Europeo e del Consiglio. Entrambi pongono al centro la questione della sicurezza informatica e delineano istituti destinati ad incidere sull" organizzazione e sull" attività di Pubbliche Amministrazioni, professionisti ed imprese, nonché sulla stessa concezione e sulla percezione del tema della protezione delle tecnologie informatiche e dei dati.

 La sicurezza informatica, ovvero la protezione dei sistemi, delle informazioni e dei dati è stata interessata da due importanti atti dell"Unione Europea emanati nel 2016. Si tratta del Regolamento 2016/679 del 27 aprile 2016 "relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati" (il Regolamento UE sulla Privacy) e della Direttiva 2016/1148 del 6 luglio 2016 del Parlamento Europeo e del Consiglio "recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell"Unione", meglio nota come Direttiva NIS (Network and information security). Con il presente contributo ci si propone di illustrare, senza alcuna pretesa di esaustività, le linee fondamentali della nuova regolamentazione e di fornire alcuni possibili spunti di riflessione.

Entrambi i provvedimenti sono destinati ad entrare "a regime", almeno in gran parte delle loro disposizioni, il prossimo anno. Il Regolamento sulla Privacy, già in vigore dal 25 maggio scorso, sarà direttamente applicabile negli ordinamenti nazionali a partire dal 25 maggio 2018, mentre la Direttiva dovrà essere recepita dagli Stati membri entro il 9 maggio dello stesso anno.  Il 2018 si preannuncia, pertanto, come una stagione di svolta per la cyber-security europea.

Le due fonti condividono sostanzialmente, come vedremo, le medesime finalità ma non sono sovrapponibili, in ragione sia delle materie regolate, sia dei destinatari.

In merito a ciò, una prima distinzione deve essere formulata per quanto concerne i rispettivi ambiti materiali di applicazione.

Il Regolamento Europeo è dedicato alla protezione dei dati personali, ovvero di quelle informazioni riguardanti una persona fisica identificata o identificabile, anche indirettamente. Gli articoli da 32 a 36 contemplano misure adeguate e adempimenti volti a fare fronte al rischio di violazione dei dati, intesa quest"ultima come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l"accesso ai dati personali trasmessi, conservati o comunque trattati" (art. 4, n°12). Gli artt. 37-39, poi, introducono la figura, già nota nei paesi di tradizione anglosassone, del Responsabile della protezione dei dati (il Data Protection Officer). Figura che dovrà, in determinate ipotesi, essere nominata dal titolare e dal responsabile del trattamento ed il cui compito principale è quello di garantire, in una posizione di indipendenza, l"osservanza della normativa sulla protezione dei dati personali nell"ente (pubblico o privato) in cui opera.

Sebbene intitolato alla protezione ed alla circolazione dei dati personali, il Regolamento si occupa anche, se non soprattutto, del tema della sicurezza informatica. E" un atto che essenzialmente disciplina la sicurezza informatica nel trattamento di dati personali. Basti qui citare l"art. 32, paragrafo 2, che menziona, tra le misure adeguate che debbono essere adottate dal titolare e dal responsabile del trattamento, la pseudo-anonimizzazione e la cifratura dei dati; la capacità di assicurare la riservatezza, l"integrità, la disponibilità e la resilienza dei sistemi; la capacità di ripristinare tempestivamente la disponibilità e l"accesso dei dati personali in caso di incidente fisico o tecnico. Può, pertanto, dirsi che "Valutate nel loro complesso, le misure di sicurezza elencate nell"art. 32 dimostrano l"attenzione del Regolamento alle nuove esigenze di sicurezza poste dalla società digitale e dai trattamenti sempre più massivi di dati" (Pizzetti, F. Privacy e il diritto europeo alla protezione dei dati personali. Giappichelli. 2016. Vol. 4/II, p. 49). D"altra parte, che il Regolamento abbia voluto adeguare la tutela del diritto alla privacy all"evoluzione nelle nuove tecnologie lo si evince con chiarezza dai Considerando numeri 6 e 7.

Differente è l"oggetto della Direttiva NIS. Essa si propone la difesa delle reti e dei sistemi informativi, stante il loro ruolo vitale nella società, dal rischio di incidenti e si riferisce, come vedremo, a particolari categorie di soggetti (gli operatori di servizi essenziali ed i fornitori di servizi digitali). L" "incidente" è  definito dall"art. 4 come "ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi", cioè tale da comprometterne la disponibilità, l"autenticità, l"integrità o la riservatezza. Non è essenziale, per la Direttiva, che si tratti di incidenti che coinvolgano dati personali. Il Considerando n°44 e l"art. 15, par.4, si limitano a disporre che, nei casi di incidenti che comportano violazioni di dati personali, l"autorità competente all"applicazione della Direttiva operi in stretta collaborazione con le autorità responsabili della protezione dei dati.

Inoltre, Regolamento e Direttiva non hanno i medesimi destinatari. Gli obblighi di sicurezza del primo sono posti a carico del titolare (nel Regolamento controller) e del responsabile (nel Regolamento processor) del trattamento, mentre la Direttiva si rivolge agli "operatori di servizi essenziali" ed ai "fornitori di servizi digitali". Gli operatori di servizi essenziali -che dovranno essere identificati dagli Stati membri- sono soggetti, pubblici o privati, i quali svolgono servizi "strategici", che dipendono dalla rete e dai sistemi informativi, nei settori dell"energia, del trasporto, bancario, delle infrastrutture dei mercati finanziari, sanitario e di fornitura e distribuzione di acqua potabile. Il fornitore di servizio digitale è qualsiasi persona giuridica che fornisce un servizio digitale di mercato on line (che consente a consumatori e/o professionisti la conclusione di contratti a distanza), di motore di ricerca on line, di cloud computing.  La Direttiva NIS non si applica agli Internet Service Providers che, come precisa il considerando n°7, sono già soggetti agli specifici obblighi della Direttiva 2002/21/CE concernente il settore delle comunicazioni elettroniche. E" bene inoltre mettere in evidenza che il Capo V della Direttiva ("Sicurezza della rete e dei sistemi informativi dei fornitori di servizi digitali") riguarda solo alcuni tipi di aziende e non le microimprese e le piccole imprese (cfr. art. 16, par.11).

In definitiva, Regolamento e Direttiva risultano, nella prospettiva della sicurezza informatica, complementari: il Regolamento è più limitato sotto il profilo oggettivo (riguarda solo la violazione di dati personali), ma è più ampio sotto il profilo soggettivo ( si applica a tutti i titolari e i responsabili del trattamento), mentre la Direttiva, viceversa, si applica a qualsiasi incidente alle reti ed ai sistemi, ma ha come destinatari dei relativi obblighi solo gli operatori di servizi essenziali ed i fornitori di servizi digitali.

Premesse queste differenze, Regolamento e Direttiva hanno anche importanti punti in comune.

In primo luogo, condividono analoghi obiettivi: prescrivono misure di sicurezza (sia informatiche, sia organizzative) a presidio di reti, sistemi e dati; si propongono di realizzare legislazioni uniformi in materia ed una stretta collaborazione tra autorità nazionali; promuovono, attraverso l"innalzamento del livello di sicurezza, lo sviluppo di un mercato digitale comune.

In secondo luogo, contemplano istituti che, al di là del significato strettamente tecnologico, potrebbero incidere profondamente sulla concezione e sulla cultura della sicurezza informatica. In questo senso particolarmente rilevanti sono, ad avviso di chi scrive, il concetto di sicurezza "by design", gli obblighi di notificazione in caso di incidenti e violazioni, l"apparato sanzionatorio.

La Sicurezza informatica "by design".

Il Considerando n° 78 e l"art. 25 del Regolamento 2016/679 codificano il concetto della "Privacy by design", secondo cui i trattamenti di dati personali, ed ovviamente anche quelli effettuati con strumenti elettronici, debbono, sin dalla fase della loro progettazione, soddisfare i principi in materia di protezione dei dati.

Il paragrafo 1 dell"art. 25 dispone che "Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati." Il Considerando 78 prevede altresì che "In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell'arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati." Il principio esige, pertanto, un atteggiamento proattivo, e non meramente reattivo, in tema di diritto alla Privacy e sicurezza informatica. Esso esclude che la valutazione di conformità del trattamento alla normativa ed alle misure tecniche ed organizzative necessarie possa essere effettuata solo successivamente alla redazione del progetto o dopo la verificazione di una violazione dei dati. Dovranno invece, sin dall"inizio, essere previste politiche interne, modalità operative, configurazioni e misure di sicurezza adeguate. La sicurezza del trattamento non è, pertanto, un fattore che, sul piano logico e cronologico, possa essere considerato meramente eventuale, posteriore o accessorio ma deve "nascere" insieme al trattamento stesso.

La Direttiva 2016/1148 non sancisce in maniera altrettanto espressa il concetto di "sicurezza by design" ma presenta disposizioni che sembrano farne propria la filosofia di una protezione delle reti e dei sistemi informativi ex ante. Ad esempio, il Considerando n°44 afferma, circa gli obblighi di sicurezza a carico degli operatori di servizi essenziali e dei fornitori di servizi digitali, che "E" opportuno promuovere e sviluppare attraverso adeguati obblighi regolamentari e pratiche industriali volontarie una cultura della gestione del rischio, che comprende la valutazione del rischio e l"attuazione di misure di sicurezza commisurate al rischio corso". Ancora, secondo gli artt. 14, par. 2, e 16, par. 2, gli Stati membri devono provvedere affinché, rispettivamente, gli operatori di servizi essenziali ed i fornitori di servizi digitali "adottino misure adeguate per prevenire e minimizzare l"impatto di incidenti a carico delle sicurezza e dei sistemi informativi (…)".

Obblighi di notificazione di comunicazione di violazioni ed incidenti.

Nel Regolamento Ue sulla protezione dei dati personali l"istituto è normato dagli artt. 33 e 34. L"art. 33 obbliga il titolare del trattamento, in caso di violazione dei dati personali, a notificare la violazione all"autorità di controllo competente (figura corrispondente all"odierno Garante della Privacy). L"art. 34 prevede la comunicazione della violazione anche all"interessato, quando la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persona fisiche. In materia di protezione dei dati personali, obblighi di questo tipo non costituiscono una novità assoluta. Già l"art. 4 della Direttiva 2009/136/Ce ha stabilito che il fornitore di servizi di comunicazione elettronica accessibili al pubblico debba notificare la violazione dei dati personali all"Autorità nazionale di controllo e, in certi casi, anche all"interessato. Tale disposizione è stata tradotta dal decreto legislativo 28 maggio 2012, n. 69 nell"art. 32 bis del D.lgs. n°196/03 (Adempimenti conseguenti ad una violazione di dati personali). Con il Regolamento UE, come visto, l"obbligo non grava più solo sui fornitori di servizi, ma su tutti i titolari e responsabili del trattamento.

Analogo meccanismo si trova nella Direttiva NIS. Gli artt. 14, paragrafo 3, e 16, par. 3, dispongono che le legislazioni degli Stati membri devono provvedere affinchè, rispettivamente, gli operatori di servizi essenziali ed i fornitori di servizi digitali notifichino, senza indebito ritardo, gli incidenti aventi impatto rilevante sui servizi essenziali prestati o sulla fornitura dei propri servizi. La notifica ha il precipuo scopo di consentire il tempestivo intervento dei Gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), designati da ciascuno stato e posti in rete tra di loro. Inoltre, gli artt. 14 e 16 contemplano ipotesi di informazione al pubblico del singolo incidente.

I doveri di notificazione e comunicazione di eventi pregiudizievoli rappresentano l"aspetto della recente normativa che, probabilmente più di altri, è destinato ad incidere sulla concezione della sicurezza informatica. Tali doveri si fondano evidentemente sulla considerazione che le moderne tecnologie sono sempre più interconnesse e interdipendenti. Lo scrittore Thomas Merton ha intitolato un proprio saggio del 1955 No man is an island, nessun uomo è un"isola. Si potrebbe anche aggiungere che no computer is an island: dal momento che i sistemi operano nello stesso ambiente virtuale, le vulnerabilità di uno rischiano di ripercuotersi, fatalmente, sugli altri. La sicurezza del singolo sistema non può predicarsi senza un elevato livello medio di sicurezza degli altri sistemi e della rete. Questo comporta anche la necessità che la protezione delle tecnologie non venga considerata un fatto esclusivamente "privato". Sotto questo profilo, gli obblighi di notifica e comunicazione (presidiati da pesanti sanzioni, come mostreremo a breve) rendono estremamente rischioso dal punto di vista giuridico, per chi tratta i dati o fornisce servizi, l"eventuale decisione di non rendere noti incidenti e violazioni, magari per evitare danni di immagine e/o reputazionali: " (..) La notifica degli eventi critici al riguardo è essenziale. Le aziende tendono spesso a minimizzare o non divulgare gli incidenti per non intaccare la fiducia dei consumatori verso le imprese detentrici di dati sensibili" (Mensi, M. La Nis per un ambiente digitale sicuro. Nella rivista formiche, n°116 del luglio 2016, p.9).

Le sanzioni.

La normativa europea in tema di sicurezza informatica si connota per un severo apparato sanzionatorio.

Prendendo le mosse dal Regolamento sulla Privacy, colpisce l"importo delle sanzioni amministrative pecuniarie. La violazione della "privacy by design", degli obblighi del titolare e del responsabile di adottare le misure di sicurezza e di procedere alla valutazione dei rischi, nonché degli obblighi di notifica in caso di data breach, è sanzionata (art. 83, par. 4) sino ad un massimo (non è indicato il minimo) di dieci milioni di euro o, per le imprese, sino al 2 per cento del fatturato mondiale totale annuo dell"esercizio precedente, se superiore.

Alla sanzione amministrativa si affianca l"obbligo del titolare o del responsabile del trattamento di risarcire gli eventuali danni, patrimoniali e non patrimoniali, arrecati dalla violazione del Regolamento (art. 82). L"odierno Codice della Privacy (il D.lgs. n°196/03, art. 15), oltre a porre l"obbligo di risarcimento, richiama l"art. 2050 c.c. concernente, come è noto, le attività pericolose. Con la conseguenza che l"autore del danno dovrà, per esonerarsi dalla responsabilità, provare di aver adottato tutte le cautele idonee ad evitarlo, oppure che il danno si è prodotto per l"intervento di un fattore eccezionale. La stessa regola è stata sostanzialmente ribadita dall"art. 82, par. 3, del Regolamento UE, secondo cui "Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità (…) se dimostra che l"evento dannoso non gli è in alcun modo imputabile". Infine, il Considerando n°149 del Regolamento lascia agli Stati membri la scelta di comminare anche sanzioni penali, le quali potranno autorizzare la sottrazione dei profitti ottenuti attraverso la violazione del Regolamento medesimo.

La Direttiva NIS non è altrettanto articolata nella previsione delle sanzioni. Ciò è dovuto al fatto che si tratta di un atto destinato ad essere attuato e specificato dagli Stati con proprie leggi di recepimento. Tuttavia, l"art. 21 afferma che gli Stati membri stabiliscono le norme relative alle sanzioni, le quali dovranno essere effettive, proporzionate e dissuasive. A nostro avviso,  l"entità delle sanzioni  potrebbe risultare non molto diverso da quella di cui al Regolamento sulla Privacy, sia per questioni di coerenza tra le due fonti europee, sia per l"importanza dei servizi essenziali e digitali oggetto della Direttiva.

Non può concludersi questo breve intervento senza almeno menzionare il Regolamento Ue n. 910/2014 del Parlamento Europeo e del Consiglio del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche, divenuto applicabile il 1°luglio 2016. Il Regolamento, denominato eIDAS (electronic IDentification Authentication and Signature), intende favorire l"impiego transfrontaliero in ambito Ue dei servizi online che coinvolgono consumatori, imprese e autorità pubbliche, con particolare riguardo alla sicurezza dell"identificazione e dell"autenticazione elettronica. In questo modo potrà essere migliorata l"efficacia dei servizi elettronici pubblici e privati, dell"e-Business e del commercio elettronico. Per perseguire l"obiettivo della sicurezza informatica, il Regolamento eIDAS ricorre in parte alla "cassetta degli attrezzi" propria anche del Regolamento UE privacy e della Direttiva NIS: obblighi di adottare misure tecniche ed organizzative appropriate per gestire i rischi legati alla sicurezza dei servizi, obblighi di  notifica  in caso di compromissione della sicurezza, responsabilità risarcitoria per i danni arrecati, sanzioni che dovranno essere stabilite dagli Stati membri in modo da connotarsi come" effettive", "proporzionate" e "dissuasive".