di Massimiliano Masnada*
L’esigenza di assicurare un adeguato livello di sicurezza in ambito digitale e telematico risponde a molteplici interessi. Da un lato, la cyber-sicurezza è essenziale per l’esercizio dei diritti fondamentali dell’individuo. Dall’altro, essa si pone sempre più come obiettivo centrale anche per le imprese. Le violazioni della sicurezza informatica non solo espongono le imprese a sanzioni salate ma anche a notevoli danni d’immagine. La Commissione Ue aveva affrontato l’argomento già nel 2013, in una comunicazione che poneva l’accento sull’importanza di strategie tese ad accrescere resistenza e affidabilità dei sistemi informatici.
Non sorprende quindi che a settembre la Commissione sia tornata sul tema, riaffermandone la centralità e proponendo una serie di misure che includono un regolamento volto ad aumentare i poteri dell’Enisa (European Union Agency for Network and Information Security) e introdurre un meccanismo di certificazione europeo. Il regolamento si andrebbe ad aggiungere a un quadro normativo variegato, che include il recente Regolamento Ue 2016/679 (cosiddetto Gdpr), che andrà a sostituire nel maggio 2018 l’attuale codice italiano della Privacy.
Tra i molteplici attacchi alla sicurezza informatica, infatti, i più pericolosi sono proprio quelli in grado di violare i dati personali. Nell’ambito della nuova proposta di regolamento sulla cyber-sicurezza, emerge lo stretto rapporto tra quest’ultima e la privacy, ponendosi la prima come complementare alla seconda. Entrambe sono volte a garantire l’effettività dei diritti di cui agli artt. 7 e 8 della Carta dei diritti fondamentali dell’Ue. Privacy e sicurezza, dunque, sembrano porsi come un inscindibile binomio.
I contrasti tra le stesse possono considerarsi, in alcuni casi, solo apparenti (si pensi al caso dell’installazione di software che controllano i sistemi informatici aziendali al solo scopo di assicurare un’adeguata sicurezza dei dati immagazzinati). Il Gdpr si sofferma sull’importanza dell’attuazione di misure di sicurezza tecniche e organizzative come, tra le altre, la cifratura e la pseudonimizzazione. Il Garante ha tuttavia evidenziato che la lista di misure contenuta nel Regolamento va intesa come non esaustiva. Infatti, pur essendo la scelta demandata alla valutazione di responsabili e titolari, è lecito aspettarsi che il Garante intervenga con linee guida e prassi, in scia al vigente codice della Privacy.
Il Gdpr, inoltre, introduce per tutti i titolari di trattamento l’obbligo, prima previsto solo per gli operatori di comunicazioni elettroniche, di notificare la violazione dei dati personali all’autorità di controllo. Tale comunicazione va fatta, se c’è un rischio per gli interessati, non oltre le 72 ore successive. In aggiunta, il titolare è tenuto a documentare circostanze della violazione, conseguenze e provvedimenti presi per porvi rimedio. Nell’ambito dell’estensione delle responsabilità che contraddistingue il Regolamento, i responsabili del trattamento sono obbligati a informare i titolari dell’avvenuta violazione, senza ingiustificato ritardo.
Il mancato rispetto degli obblighi citati comporta sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale. Oltre alle sanzioni amministrative, in caso di danno da cyber-attacco, l’operatore che lo ha subito potrebbe anche essere oggetto di richieste risarcitorie (eventualmente tramite class action) per non aver adottato le misure che per la natura, il contesto e le finalità del trattamento avrebbero evitato o ridotto i danni subiti dagli interessati.
Per evitare sanzioni è dunque cruciale che le imprese si adeguino subito al nuovo quadro normativo, adottando opportune misure di sicurezza e attuando procedure adeguate a prevenire le violazioni e a provi rimedio.
Parallelamente è consigliabile da un lato munirsi di documenti idonei a rispondere a eventuali richieste del Garante e, dall’altro, disciplinare dettagliatamente tali aspetti nei contratti conclusi con i responsabili del trattamento. Il pilastro della nuova normativa è infatti la responsabilizzazione (in inglese accountability) che lascia ai responsabili il compito di stabilire limiti e fondamenti dei trattamenti dei dati ma, al tempo stesso, li impegna ad adottare un approccio propositivo e a dotarsi di procedure e garanzie idonee a dimostrare la propria conformità. Lo stesso Regolamento introduce strumenti volti ad aiutare le imprese ad assolvere i propri oneri, come valutazioni di impatto, certificazioni e nomina dei responsabili.
Il nuovo assetto normativo va visto come opportunità per rafforzare il rapporto con i clienti e consolidare la posizione sul mercato, garantendo elevati livelli di sicurezza e trasparenza. (riproduzione riservata)
* counsel, Hogan Lovells
Fonte: