Cosa cambia per imprese e DPO dopo l’ultimo vertice Nato

All’ultimo vertice Nato tenutosi a Bruxelles lo scorso 25 marzo, che ha visto la presenza del Presidente Biden, la guerra in Ucraina è stata il tema in primo piano. Questo ha portato il vertice a concentrarsi anche sui temi della cyber security che già avevano formato oggetto di una particolare attenzione al vertice del 2014, dando l’avvio alla cooperazione tra i Paesi Nato in tema di difesa dagli attacchi cyber e, per la UE, alla accelerazione e alla attuazione della Direttiva Nis, pezzo essenziale anche della difesa integrata cyber sia nel quadro europeo che in quello Nord Atlantico.

Sempre nel forum del 2014 i Paesi Nato avevano convenuto l’innalzamento ad almeno il 2% del PIL delle spese militari di ciascuno di essi, in un quadro funzionale appunto a rafforzare la difesa comune.

Anzi, a questo proposito merita non solo ricordare che l’aumento al 2% delle spese militari oggi al centro della discussione politica nel nostro Parlamento non è altro che la conseguenza dell’impegno assunto allora, ma anche che fin dal 2014 l’aumento delle spesse militari non era previsto solo come riferito ad acquisto di nuovi armamenti o alla spesa per progettare, costruire, acquistare nuove armi da usare nell’eventuale scontro bellico ma anche, e per l’Italia soprattutto, per incrementare le spese necessarie per garantire una cybersecurity efficace e moderna, all’impegno del quadro comune dell’Alleanza Atlantica. Cosa questa che è stata di recente confermata rispetto all’incremento del bilancio della difesa oggi in discussione in Parlamento dal Direttore dell’Agenzia per la cybersecurity italiana Roberto Baldoni in una intervista per Digital360 ad Alessandro Longo, direttore di Agenda Digitale.

Incrementare la cyber security comune

Questo aspetto, stranamente poco noto in Italia, è oggi essenziale perché proprio il recente Consiglio Nato di poche settimane fa ha deliberato di incrementare la cyber security comune. Infatti si è affermato che, una volta dichiarato sin dal 2014 (e ribadito nel 2016 a Varsavia) che la dimensione cyber è il “quinto dominio di guerra”, è conseguenza immediata la estensione della tutela Nato anche al mondo cyber e quindi, anche, come è stato ribadito al Consiglio Nato appena conclusosi, anche che un eventuale attacco cybernetico a un Paese dell’Alleanza farebbe scattare l’obbligo della difesa collettiva e dunque dell’entrata in guerra di tutti i membri dell’Alleanza a tutela dell’aggredito.

Per questo il Direttore della Cyber Agenzia italiana ha lanciato un grido di allarme a difesa del previsto aumento di spesa per la Difesa: larga parte di tale aumento è destinato infatti a rafforzare la tutela dello spazio cyber italiano ed UE, così come nello stesso senso si colloca la prevista presentazione da parte della Commissione di una nuova Direttiva NIS (la “Nis 2”, come viene indicata in gergo) che comporterà poi una rapida attività di adeguamento da parte del legislatore interno che rafforzi sia il circuito nazionale della cybersicurezza sia le modalità di difesa di tale circuito, imponendo anche, ove necessario, obblighi alle imprese in ordine alla adozione di strumenti di difesa cibernetica delle loro comunicazioni e dei loro servizi digitali più efficaci degli attuali e, soprattutto, sotto una più stretta vigilanza della Agenzia per la Cybersicurezza Nazionale.

Un altro aspetto importante del Consiglio dell’Alleanza Atlantica è che al suo termine il Presidente Biden e la Presidente della Commissione UE von der Leyen hanno comunicato di aver concluso una sorta di accordo preliminare per il trasferimento dei dati tra UE e USA in grado di sostituirsi all’annullato Privacy Shield e di ricondurre alla piena legalità il necessario e inevitabile flusso di dati tra le due sponde dell’Atlantico.

In questo stesso quadro entrambi i presidenti hanno fatto una affermazione di notevole importanza, dichiarando che il grande valore comune che lega UE e USA, anche al di là della forma democratica dei sistemi di governo, è la tutela della privacy, intesa in senso ampio come tutela della libera circolazione dati con modalità digitali in condizioni di sicurezza sia per i fornitori dei servizi che per gli utenti.

È in questo quadro, del resto, che si colloca nel contesto europeo anche la decisione nota da tempo ma diventata ora effettiva di prolungare di un ulteriore decennio il roaming all’interno dell’Unione: provvedimento questo essenziale per rendere economicamente più sostenibile la piena circolazione dei dati.

È dunque ragionevole attendersi in questo quadro un rapido iter per l’annunciato nuovo accordo sul trasferimento dei dati tra le due sponde dell’Atlantico e in generale nel quadro dei Paesi Nato. È necessario inoltre che sia le imprese europee che le strutture UE dedicate alla cybersicurezza abbiano ben chiaro che il ruolo della difesa cyber è essenziale per garanti una effettiva e produttiva libertà di circolazione dei dati.

In sostanza la libera circolazione dei dati, che è da tempo il vero grande obbiettivo della politica UE relativa ai dati e al loro uso per garantire lo sviluppo economico del continente anche nella competizione digitale globale, in tanto è possibile in quanto si possa garantire che esso avvenga in piena sicurezza e con tutele adeguate anche, e soprattutto, sotto questo profilo.

La centralità della tutela dei dati

In questo quadro, il fatto che il Consiglio Nato del febbraio 2022 abbia riconosciuto la centralità della tutela dei dati e delle reti di trasmissione degli stessi, tanto da farne oggetto di una tutela comunque rafforzata della stessa Nato, è cosa di assoluta importanza. Alle imprese, e soprattutto al sistema economico europeo e italiano, capire bene che questo significa che ormai la protezione di dati trattati per i fini economici e produttivi deve essere ed è per le imprese una assoluta priorità, come è una priorità assoluta tenere comportamenti e adottare misure coerenti con le indicazioni della Agenzia nazionale per la cybersecurity.

Per questo anche i Data Protection Officer devono con rapidità adeguarsi alle innovazioni in atto ed è opportuno che la loro preparazione sia integrata con una specifica attenzione a questi aspetti. Il DPO dunque sarà sempre meno la figura che possiede la scienza giuridica dei dati e sempre di più, invece, quella che nell’azienda garantisce, oltre alla conformità dei trattamenti al GDPR anche la costante attuazione delle indicazioni finalizzate alla cybersicurezza dei dati trattati e degli stessi processi industriali necessari alla fornitura dei servizi offerti sul mercato.

Un maggiore sforzo da parte delle imprese

Merita anche dire che sempre di più le imprese dovranno accentuare gli sforzi per assicurare valutazioni di rischio adeguate. Non vi è dubbio, infatti, che la garanzia che i trattamenti avvengano nel rispetto della sicurezza cyber renderà sempre più complessa e rilevante la valutazione dei rischi legati ai trattamenti; valutazione che, a sua volta, sarà sempre più legata anche alla conoscenza della cybersecurity e delle prescrizioni dell’Agenzia.

In questa prospettiva è bene che le imprese più grandi e più lungimiranti si preparino anche a assicurarsi la collaborazione di veri esperti del “risk management”. La valutazione di rischio non potrà infatti limitarsi al valutare il rischio di eventuali violazioni di norme del GDPR ma dovrà mettere al centro anche la cyber sicurezza e le modalità digitali dei trattamenti.

(Articolo di Francesco Pizzetti, Presidente dell'Autorità per la protezione dei dati personali dal 2005 al 2012)