GDPR e affini, come districarsi nel florilegio di direttive e normative

ProgettiPubblica AmministrazioneSecurity managementSicurezza

GPDR, Direttiva NIS, nuove regole per la Privacy. A maggio la tempesta perfetta per chi lavora con i dati offrirà il meglio proprio nei giorni di esecuzione del Regolamento. Come orientarsi mentre il legislatore italiano ha dormito

A IDC Security Conference 2018 si è trattato il tema della sicurezza in relazione all’ottemperanza con i regolamenti UE e del nostro Paese. Maurizio Mensi, Professore SNA e presso la Luiss Guido Carli, ha messo a fuoco le relazioni tra il cantiere normativo europeo, il GDPR e la situazione in Italia. Riportiamo le sue indicazioni e gli orientamenti per non perdersi e verificare la posizione della propria azienda.

Sappiamo che oramai tra meno di 15 giorni (il 25 maggio 2018) entra pienamente in vigore con tutte le conseguenze sanzionatorie del caso il GDPR, che richiede alcuni adeguamenti Paese per Paese. Il nostro Parlamento si è sì attivato nell’autunno del 2017 per partorire il Decreto Legislativo di adeguamento e si era posto effettivamente come termine ultimo il 21 maggio 2018. Una data che rappresenta un’occasione persa per la scarsa tempestività e quindi è riuscita a mettere ancora in difficoltà le aziende che entro i successivi quattro giorni dovranno adeguarcisi.

Per muoversi il Governo ha istituito una commissione, il Decreto è stato approvato dal governo all’inizio di questa primavera, sarebbe dovuto passare alla commissione per gli Atti del Governo, per ritornare prima al Governo poi al Garante e quindi sarebbe stato pronto per l’approvazione. Di fatto dall’inizio della primavera ad oggi sembra non essersi più mosso, ed è per questo che Mensi sollecita tutte le aziende, ora, a monitorare la situazione per tenersi pronti.

I due anni per “recepire” il GDPR sono quindi trascorsi invano, per il nostro Parlamento di sicuro, ma in un certo senso anche per il Regolamento, considerato un ottimo strumento, ma nello stesso tempo in parte superato dagli eventi perché proposto nel 2012, e approvato nel 2016.

Intanto, cerchiamo di aprire gli occhi anche su tutto il corollario normativo che affianca il GDPR.
Nei prossimi giorni infatti attendiamo anche l’applicabilità del Decreto Legislativo relativo alla revisione e alla modifica del Codice della Privacy, nonché quello di attuazione in Italia della Direttiva NIS per la cybersecurity.

Maurizio Mensi, Professore SNA e presso la Luiss Guido Carli

Siamo in una situazione tutt’altro che rassicurante. Perché la Commissione sta valutando il da farsi ha pensato di “azzerare” il Codice della Privacy, con introduzione di ulteriore incertezza. Di fatto, in ogni caso, dal 25 maggio non ci sarà più un testo unico sulla privacy, ma si dovrà fare riferimento al Regolamento e al Decreto, nel quale non si può, per i vincoli europei, trasfondere anche il regolamento.

La prima regola, si sa, sarebbe il rispetto delle regole ma esse sembrano ancora del tutto incerte, una volta adottate dovrebbero diventare subito applicabili ma bisognerebbe anche consentire di “digerirle” e comprenderle. Ci aspettano “tempo difficili”, sottolinea Mensi.

Per questo si può parlare proprio di un “cantiere normativo”. Per esempio il GDPR si deve leggere necessariamente affiancato anche alla Direttiva NIS con una relazione di “trasposizione” dell’uno nell’altra. Sullo sfondo resta certamente il tema dei dati che mentre nel GDPR sono quelli personali, nella NIS sono i dati in generale (trattati in diversi ambiti, banche, trasporti, etc.etc.).

Il legislatore europeo in ogni caso nel tempo si è applicato nel mettere una serie di paletti. Per cui direttive, comunicazioni, regolamenti, non finisco qui. Per esempio riguardo la sicurezza delle infrastrutture, i paletti sono stati definiti nella Comunicazione sulla Criminalità Informatica, ripresa poi nel 2016, che ha messo in stretta connessione sicurezza delle reti e Privacy. Il nostro Codice delle Comunicazioni Elettroniche evidenzia altresì come si debba garantire il mantenimento dell’integrità della sicurezza delle comunicazioni, obbligando le imprese già ad adempiere a una serie di richieste in questo senso.

Si può poi citare la Direttiva E-Privacy del 2002 di Bruxelles, mentre a Gennaio del 2017 la Commisione Europea ha proposto un ulteriore Regolamento che andrà a sostituire la Direttiva E-privacy del 2002 non assimilabile al GDPR, si tratta quindi di un altro Regolamento destinato a sostituire quella Direttiva, per approdare a regole armonizzate.

Il vero passaggio importante l’Unione l’ha compiuto nel 2013 delineando gli elementi fondamentali della propria strategia: elemento centrale l’Agenda Digitale nel 2010, e il richiamo agli stati di allineare i requisiti di sicurezza e certificazione e il vero salto di qualità

Alcuni elementi importanti in termini di cybersicurezza da tenere sotto mano e considerare sono poi  la Direttiva 114 del 2008 (infrastrutture critiche trasporti ed energia), la Direttiva 140 del 2009 in tema di comunicazioni elettroniche, la Direttiva 40 del 2013 per l’interazione giuridica comune tra gli Stati membri, e l’elemento cardine della Direttiva NIS in cui è in corso in questi giorni l’elaborazione della trasposizione per il nostro Paese. La Direttiva NIS è l’altra faccia della medaglia per la sicurezza, rilevante tanto quanto il regolamento GDPR.

Ecco perché: è una direttiva FONDAMENTALE. Essa impone a soggetti pubblici e privati di collaborare tra loro, impone individuazione di una strategia nazionale di cybersicurezza e impone una serie di indicazioni e requisiti di sicurezza, per un percorso di individuazione di standard che costituiscano un asse portante.

I tasselli importanti del quadro possono essere individuati nel DPCM 17 febbraio del 2017, sulla nuova architettura per la protezione dello spazio cybernetico nazionale (Decreto Gentiloni).

La strategia europea, dicevamo, si delinea nel 2013 proprio in seguito agli attacchi informatici ripetuti e costanti oramai un vero e proprio allarme.

Parlare di cybersicurezza implica la fiducia assoluta negli scambi, e l’elemento decisivo di tutto questo è effettivamente il pacchetto del 13 settembre del 2017 che comprende la creazione di un sistema di certificazione della sicurezza informatica; il BluePrint come piano per rispondere operativamente quando si verifica un attacco; una rete di centri di competenza negli Stati membri. Un pacchetto importante soprattutto riguardo le “certificazioni integrate del sistema”.

Il Pacchetto UE 13 settembre 2017

Obiettivo sarebbe sempre un insieme uniforme di regole in un quadro semplificato, in cui la variabile regolamentare avrebbe dovuto avere poco rilievo e che invece si vede bene come ancora di più oggi torni rilevante e attuale.

All’indomani del 25 maggio resta quindi la grande incognita di quali saranno le regole applicabili. Non tutte le regole del GDPR sono effettivamente applicabili e il Codice della Privacy ne aggiunge e affianca altre, in una situazione imbarazzante.

Spiega Mensi: “Sta ad ogni impresa chiedersi quale sia la norma applicabile se quella del Regolamento GDPR o quella del Codice della Privacy in attesa che il legislatore sbrogli la matassa nel suo Decreto Legislativo che sarà applicabile già dal 25 maggio, ancora oggi sconosciuto, ma che si spera risolva i problemi anziché aggiungerne altri”.

Ci troviamo evidentemente in un “puzzle” fatto da una serie di interventi ripetuti e progressivi che ci hanno portato al quadro di riferimento odierno, in parte “integrato” nel GDPR.

L’altra faccia della medaglia rispetto alla Privacy torna ad essere la Direttiva NIS, perché sostanzialmente allarga il raggio di azione a Banche, Trasporti, Utilities e Salute, oltre la Direttiva 114.

Ogni stato membro sta facendo i conti sulla necessità di trasporre la direttiva e stabilire quali siano gli operatori dei servizi essenziali (possibile fino al 9 novembre 2018), oltre ovviamente ai fornitori di servizi digitali, direttamente indicati dalla Direttiva, in un’ottica volta comunque ad estendere il raggio di azione e imporre a soggetti ulteriori le regole. Siamo, appunto, in attesa del Decreto Legislativo finale.

La Direttiva NIS impone di notificare un incidente che sospenda i servizi essenziali, in una sorta di sovrapposizione ulteriore tra procedure e oneri declinati in Italia dal prossimo Decreto Legislativo rispetto a quanto previsto dal GDPR. Analizziamo pochi ma importanti aspetti problematici proprio relativi al GDPR.

Il GDPR resta il cardine del cantiere normativo, insieme al Decreto Legislativo di attuazione per le parti che riguardano il nostro Paese, così come quello attuativo della Direttiva NIS. Ci sono altri due elementi importanti, approvati proprio lo stesso giorno di approvazione del Regolamento.

La Direttiva 680 del 2016 (scambio dati tra operatori del settore sicurezza) e la Direttiva PNR sui dati dei passeggeri aerei, per fortuna di impatto solo per poche aziende in Italia.

La tempesta perfetta: GDPR, Decreto legislativo per la Privacy e di recepimento della Direttiva NIS

Il GDPR ancorché sia volto a dotare le imprese degli strumenti per mettersi in sicurezza, solo all’Art. 32 parla di cybersicurezza, ma è invece fortissimo il tema del “consenso all’utilizzo dei dati” che deve essere esplicito, libero, informato, inequivocabile anche se non necessariamente scritto, non scritto ma  con l’obbligo di riuscire a dimostrare di averlo, e con le relative clausole per i minori di anni 16 che hanno determinato per esempio il rinnovo della richiesta anche per alcuni social come WhatsApp.

Il Consenso raccolto in precedenza è valido se aveva già le caratteristiche indicate e ovviamente resta fondamentale il fatto che una maldestra gestione dei dati non solo implica la sanzione GDPR ma anche il risarcimento dei danni all’interessato.

Un aspetto è molto importante: il cosiddetto Registro dei trattamenti (Art.30 del GPDR), per quanto, non sia obbligatorio per le aziende con meno di 250 dipendenti, esso è caldamente suggerito, perché nel momento in cui si sarà sanzionati, la circostanza di poter dimostrare di aver adottato un’organizzazione conforme al rispetto dei requisiti previsti ancorché l’azienda non ne fosse tenuta, sarà un elemento evidentemente valorizzabile nel procedimento.

Chiude Mensi: “Non andrebbe enfatizzato l’aspetto sanzionatorio, ma ci si dovrebbe preoccupare molto di più, per la difficoltà che implica, allineare l’organizzazione nei processi, per essere effettivamente in grado che tutto il possibile che si poteva fare è stato fatto, per rendersi conformi”.

Le prossime settimane bisognerà quindi rimanere estremamente vigili, perché diverse parti del Regolamento demandano al legislatore nazionale di fare il proprio mestiere, e indica principi di massima da declinare Paese per Paese. La Delega Legislativa dell’ottobre 2017 impone una serie di compiti importanti. Altri Paesi hanno sfruttato i due anni per allineare la normativa noi no. I compiti non sono stati attesi.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore