martedì, 25 settembre 2018

W la Privacy

W la Privacy

Dlgs 65/2018, la cybersecurity incrocia il Regolamento sulla Privacy

04/09/2018

MILANO - Mentre migliaia di organizzazioni sono ancora alle prese con l’adeguamento al regolamento Ue 2016/679 in materia di protezione dei dati, per molte di esse si avvicina il momento di affrontare la direttiva 2016/1148 in materia di sicurezza delle reti e dei sistemi informativi, recepita in Italia con il decreto legislativo 65/2018 entrato in vigore lo scorso 24 giugno.

I destinatari del provvedimento sono di due tipologie: i fornitori di servizi digitali e gli operatori di servizi essenziali. I primi, definiti nell’allegato 3 del decreto, sono i motori di ricerca, i mercati online e gli erogatori di servizi di cloud computing. Nella seconda categoria rientrano quelle specificati nell’allegato 2: energia, trasporti, sanità, banche e infrastrutture dei mercati finanziari, fornitori e gestori di acqua potabile, infrastrutture digitali.

La definizione puntuale dei soggetti a cui la norma sarà applicabile avverrà entro il prossimo 9 novembre quando i ministeri interessati (Infrastrutture e trasporti, Sviluppo economico, Salute, Economia e Ambiente) dovranno provvedere all’identificazione puntuale. I “fortunati estratti” dovranno mettersi al lavoro, ma se hanno fatto bene i compiti connessi al Gdpr lo sforzo non dovrebbe essere sovrumano.

Gli obblighi stabiliti sia per i fornitori di servizi digitali (articoli 14, 15 e 16) sia per gli operatori di servizi essenziali (articoli 12 e 13) appariranno come una sorta di déjà vu. In generale si parla di "sicurezza adeguata al rischio" e di notifica alle autorità competenti, «senza ingiustificato ritardo, degli incidenti aventi un impatto rilevante". Impossibile non notare l’evidente sovrapponibilità di questi vincoli alle previsioni del regolamento 2016/679 contenute negli articoli 32, dove obbliga all’adozione di "misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio", e 33, in cui si stabilisce che "in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità (...) senza ingiustificato ritardo".

Su questa base il recepimento delle disposizioni della direttiva, pur nella complessità di definire quando e come la sicurezza risponda alla prescrizione di "adeguatezza", dovrebbe trovare le organizzazioni piuttosto preparate. Probabilmente, nell’idea del legislatore di Bruxelles che ha promulgate entrambe nel 2016, il Gdpr e la Nis avrebbero potuto e forse dovuto essere parte di un unico grande intervento di adeguamento per gli operatori. Pochissimi hanno adottato questo approccio, ma ciò non toglie che le due norme offrono utili indicazioni per meglio comprendere l’una i requisiti dell’altra, soprattutto nei provvedimenti di corollario.

La valutazione dell'impatto in caso di incidente

Un esempio concreto è il tema della valutazione dell’impatto di un incidente. Correlato alla Nis esiste il regolamento di esecuzione 2018/151 che specifica dei parametri per determinare l’eventuale impatto rilevante di un incidente per i fornitori di servizi digitali in cui, tra l’altro, si chiarisce che "una perdita di integrità, autenticità o riservatezza dei dati conservati, trasmessi o trattati (...) che ha interessato oltre 100.000 utenti nell’Unione" è considerato un evento soggetto a notifica. Se ci spostiamo in ambito Gdpr le "Linee guida in materia di notifica delle violazioni di dati personali adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017" stabiliscono anch’esse dei criteri per valutare le violazioni, e uno di questi è proprio il numero degli interessati: non viene però precisata un’indicazione numerica, ma si afferma il principio generale che l’impatto aumenta al crescere dei soggetti coinvolti.

Fermo restando che il contesto e la natura dei dati sono un discrimine, ecco che quel "100mila" indicato dal regolamento di esecuzione può rappresentare una buona base di partenza. Si tratta di uno dei tanti spunti che suggeriscono l’importanza di affrontare il tema della conformità a queste norme con una visione d’insieme.

 


maggiori informazioni su:
www.federprivacy.org



pagina precedente

Una miniguida per aiutare a capire gli aspetti principali a muovere i primi passi nel mondo Privacy.

Acquistala ora a soli 8,00 Euro
Ethos Academy

Linea diretta con l'esperto di privacy

Per i professionisti della videosorveglianza

Vi sveliamo i segreti della privacy rispondendo alle vostre domande.
Videosorveglianza e Privacy: un tema scottante che alimenta dubbi e incertezze tra i professionisti della sicurezza.
Un servizio online come opportunità di ulteriore informazione, con espoerti che danno risposte complete su riferimenti normativi.

Scopri Helpdesk