NEWS

Dlgs 65/2018, la cybersecurity incrocia il Regolamento sulla Privacy

Mentre migliaia di organizzazioni sono ancora alle prese con l’adeguamento al regolamento Ue 2016/679 in materia di protezione dei dati, per molte di esse si avvicina il momento di affrontare la direttiva 2016/1148 in materia di sicurezza delle reti e dei sistemi informativi, recepita in Italia con il decreto legislativo 65/2018 entrato in vigore lo scorso 24 giugno.

I destinatari del provvedimento sono di due tipologie: i fornitori di servizi digitali e gli operatori di servizi essenziali. I primi, definiti nell’allegato 3 del decreto, sono i motori di ricerca, i mercati online e gli erogatori di servizi di cloud computing. Nella seconda categoria rientrano quelle specificati nell’allegato 2: energia, trasporti, sanità, banche e infrastrutture dei mercati finanziari, fornitori e gestori di acqua potabile, infrastrutture digitali.

La definizione puntuale dei soggetti a cui la norma sarà applicabile avverrà entro il prossimo 9 novembre quando i ministeri interessati (Infrastrutture e trasporti, Sviluppo economico, Salute, Economia e Ambiente) dovranno provvedere all’identificazione puntuale. I “fortunati estratti” dovranno mettersi al lavoro, ma se hanno fatto bene i compiti connessi al Gdpr lo sforzo non dovrebbe essere sovrumano.

In effetti gli obblighi stabiliti sia per i fornitori di servizi digitali (articoli 14, 15 e 16) sia per gli operatori di servizi essenziali (articoli 12 e 13) appariranno come una sorta di déjà vu. In generale si parla di «sicurezza adeguata al rischio» e di notifica alle autorità competenti, «senza ingiustificato ritardo, degli incidenti aventi un impatto rilevante». Impossibile non notare l’evidente sovrapponibilità di questi vincoli alle previsioni del regolamento 2016/679 contenute negli articoli 32, dove obbliga all’adozione di «misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio», e 33, in cui si stabilisce che «in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità (...) senza ingiustificato ritardo».

Su questa base il recepimento delle disposizioni della direttiva, pur nella complessità di definire quando e come la sicurezza risponda alla prescrizione di «adeguatezza», dovrebbe trovare le organizzazioni piuttosto preparate. Probabilmente, nell’idea del legislatore di Bruxelles che ha promulgate entrambe nel 2016, il Gdpr e la Nis avrebbero potuto e forse dovuto essere parte di un unico grande intervento di adeguamento per gli operatori. Pochissimi hanno adottato questo approccio, ma ciò non toglie che le due norme offrono utili indicazioni per meglio comprendere l’una i requisiti dell’altra, soprattutto nei provvedimenti di corollario.

Un esempio concreto è il tema della valutazione dell’impatto di un incidente. Correlato alla Nis esiste il regolamento di esecuzione 2018/151 che specifica dei parametri per determinare l’eventuale impatto rilevante di un incidente per i fornitori di servizi digitali in cui, tra l’altro, si chiarisce che «una perdita di integrità, autenticità o riservatezza dei dati conservati, trasmessi o trattati (...) che ha interessato oltre 100.000 utenti nell’Unione» è considerato un evento soggetto a notifica. Se ci spostiamo in ambito Gdpr le «Linee guida in materia di notifica delle violazioni di dati personali adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017» stabiliscono anch’esse dei criteri per valutare le violazioni, e uno di questi è proprio il numero degli interessati: non viene però precisata un’indicazione numerica, ma si afferma il principio generale che l’impatto aumenta al crescere dei soggetti coinvolti.

Fermo restando che il contesto e la natura dei dati sono un discrimine, ecco che quel «100mila» indicato dal regolamento di esecuzione può rappresentare una buona base di partenza. Si tratta di uno dei tanti spunti che suggeriscono l’importanza di affrontare il tema della conformità a queste norme con una visione d’insieme.

Fonte: Il Sole 24 Ore del 29 agosto 2018

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Verità presunta o fake news? Conta la verifica delle fonti
Next Polizia Municipale, dal Garante privacy l'ok allo schema di decreto per l'accesso alla banca dati dei veicoli rubati

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy