Cybersecurity e Data Protection: i confini e i punti di contatto tra i due settori
Inserite in un contesto di innovazione che copre tutti i settori strategici, data protection e cybersecurity si intersecano tra loro operando sinergicamente con un approccio interdisciplinare orientato alla proattiva adozione di misure idonee a rafforzare i meccanismi di tutela con un complessivo ed uniforme incremento dei livelli di sicurezza.
Il Regolamento (UE) 2016/679 sulla protezione dei dati personali (cd. “GDPR” ovvero General Data Protection Regulation) è innovativo in quanto tenendo conto dei rischi legati allo sviluppo tecnologico, ha previsto misure di pronto intervento, al fine di contrastare efficacemente fenomeni che possono mettere a repentaglio la privacy e compromettere la sicurezza digitale.
Data protection
La data protection è una delle tematiche più complesse e dibattute degli ultimi anni, connotata da un raggio applicativo così vasto da estendersi a tutti gli ambiti di operatività umana, ponendosi in connessione anche con altre esigenze di pari valore giuridico contemperate nell’ordinamento.
Tra le diverse materie che investono la tutela e la protezione dei dati personali, vi è la cybersecurity la quale presenta interessanti punti di contatto con il mondo privacy.
Infatti, inserite entrambe in un contesto di innovazione che copre tutti i settori strategici, data protection e cybersecurity si intersecano tra loro operando sinergicamente con un approccio interdisciplinare orientato alla proattiva adozione di misure idonee a rafforzare i meccanismi di tutela con un complessivo ed uniforme incremento dei livelli di sicurezza.
GDPR
Il Regolamento (UE) 2016/679 sulla protezione dei dati personali[1] (cd. “GDPR” ovvero General Data Protection Regulation), adottato il 27 aprile 2016 e divenuto applicabile ed operativo in tutti gli Stati membri dal 25 maggio 2018, rappresenta il punto di riferimento normativo in materia di privacy, prevedendo i principi generali applicabili a tutti i dati considerati “personali”, “sensibili” e “particolari”, di cui è necessario preservare la riservatezza, l’integrità e la disponibilità.
Per quel che concerne la cybersecurity, il GDPR si occupa del tema all’interno della sezione 2 (artt. 32-34) rubricata “Sicurezza dei dati personali”. In particolare, l’articolo 32 descrive gli adempimenti a carico del Titolare del trattamento il quale deve porre in essere una serie di attività per ottenere un livello adeguato di sicurezza rispetto alle misure adottate.
In particolare, il Titolare deve attuare controlli ed adottare misure tecniche e organizzative, al fine di garantire la conformità del trattamento al Regolamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento stesso, nonché dei rischi ivi connessi.
Tra l’altro, tali misure richiedono un riesame e un aggiornamento periodici. Dunque, spetta al titolare effettuare una valutazione del rischio rispetto al tipo di dati da proteggere con il compito di analizzare all’interno della propria struttura tutti gli aspetti relativi al trattamento dei dati personali e attivare i mezzi necessari per accrescere il livello di sicurezza, servendosi di metodi che possano garantire la tutela dei dati personali coinvolti.
Uno dei capisaldi del Regolamento è, quindi, il principio di accountability ovvero la responsabilizzazione del titolare del trattamento in termini di adempimenti da prevedere e attuare per la sicurezza e la tutela dei dati personali conformemente al GDPR.
A tal fine, è indispensabile costruire un sistema di protezione adatto rispetto alle esigenze di ogni singola organizzazione per proteggere l’elaborazione e la trasmissione di dati da attacchi informatici che, compromettendo la privacy, possono alternare la riservatezza, l’integrità e la disponibilità dei dati stessi.
Cybersecurity e privacy
Come noto, i prodotti e i servizi digitali hanno anche la funzione di prevenire le minacce informatiche ma, occupandosi anche dell’aspetto privacy, sono in grado di rafforzare il proprio potere, limitando il rischio di azioni criminali che possono violare di fatto i dati personali.
Mettere in campo queste misure presuppone la capacità propulsiva del sistema di attuare un’azione reattiva su più fronti in termini di rafforzamento delle conoscenze scientifiche, tecniche e industriali necessarie all’accrescimento della sicurezza delle infrastrutture per combattere la criminalità informatica, ingenerando, così, anche la fiducia degli utenti sulla sicurezza dei mezzi stessi.
In conclusione, il Regolamento presenta una portata innovativa in quanto non solo tiene conto delle problematiche più attuali e dei rischi legati all’evoluzione tecnologica, ma ha previsto misure di pronto intervento, al fine di contrastare efficacemente fenomeni che possono mettere a repentaglio la privacy e compromettere la sicurezza digitale.
Infatti, i progressi compiuti fino ad oggi hanno permesso di ideare e sviluppare soluzioni tecnologiche che, da un lato, rispondono al progresso in materia cyber ma, dall’altro, tutelano anche la privacy delle infrastrutture considerate più critiche e più esposte a minacce informatiche.
Tutto ciò è stato possibile grazie alla costruzione di un vivo e costante dibattito sulla questione che ha offerto la possibilità di realizzare innovazione e attuare sperimentazione digitale ponendo tra i primari obiettivi la protezione di cittadini e imprese.
Procedendo in questa direzione ovvero rendendo la sicurezza digitale rispettosa anche dei principi privacy, sarà possibile sviluppare un ecosistema favorevole alla ricerca e allo sviluppo contribuendo a renderlo, altresì, un fattore di crescita e competitività.
[1] Per una lettura completa del Regolamento si rinvia a: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679
Per altri articoli relativi alla normativa sulla cybersecurity si rimanda a https://www.telsy.com/it/blog/#legal
A questo link gli ultimi articoli del blog di Telsy: