È doveroso ricordare che la disciplina in materia di trattamento dei dati personali ha rafforzato non solo la sicurezza dei sistemi, limitando la zona di rischio informatico cui sono in parte sottoposti dati e informazioni, ma ha altresì esteso la tutela anche ai diritti e agli interessi dei cittadini.
Indice degli argomenti
Il regolamento che salvaguardia la nostra privacy
Non a caso l’apporto offerto alla normativa in materia di cybersicurezza, da parte del Regolamento Generale sulla Protezione dei dati Personali, si basa proprio sulla necessità di salvaguardare i diritti fondamentali dei cittadini.
È indubbio che la protezione dei dati è un presupposto inevitabile per la cybersecurity. Tale consapevolezza costituisce la base della sinergia, in quanto solo una effettiva cooperazione tra cybersicurezza e protezione dei dati può assicurare un processo di digitalizzazione senza pregiudizio non solo per la sicurezza nazionale, ma anche per la riservatezza.
Per questo motivo sono necessari il dialogo istituzionale e il consulto del Garante che, lungi dal voler costituire un freno o peggio un appesantimento burocratico che ne svilisce il ruolo, hanno dimostrato di essere «il fattore determinante di ogni innovazione riuscita».
La strada per l’innovazione
Tutto attraversa la regolazione dei dati, non solo di quelli personali. Se lo comprenderemo con piena consapevolezza, una volta per tutte, ne guadagneremo in termini di digitalizzazione, semplificazione amministrativa, giustizia, didattica a distanza, fascicolo sanitario, ecc.
Da tempo infatti si invoca una innovazione da questo approccio settoriale che porti ad una cognizione moderna della privacy. Lo stesso coinvolgimento del Garante, ricordiamo, non è più un passaggio facoltativo: gli art. 36 e 57 del Regolamento prevedono l’intervento della Autorità durante la predisposizione di ogni atto normativo in grado di incidere sul trattamento dei dati personali.
Le sfide tra rischi cyber
Tuttavia la digitalizzazione porta con sé non solo vantaggi ma anche rischi vale a dire minacce cyber come frodi, attacchi terroristici ricatti informatici, ecc. In più di una occasione è stato riportato il dato allarmante secondo cui, in Italia, la quasi totalità dei server (93%) della PA non si trova in condizioni di sicurezza.
Non solo, a causa della limitata diffusione di competenze digitali e del ridotto utilizzo di tecnologie avanzate, l’Italia è al 25° posto in Europa come livello di digitalizzazione. Tutto ciò dimostra quanto sia indispensabile rivedere il Paese nelle sue infrastrutture digitali, avanzando verso una completa cloudification tale da rendere la PA preziosa alleata dei cittadini, ovvero in grado di offrire servizi facilmente accessibili oltre che maggiormente efficienti, snellendo le procedure e accelerando l’interoperabilità tra gli enti pubblici.
Gli obiettivi
Dunque la sfida principale dell’attuale momento storico consiste nel realizzare un sistema paese che persegua parallelamente tre obiettivi: efficienza, sicurezza delle infrastrutture digitali e semplicità di utilizzo. Il successo dipenderà da come si faranno convivere questi tre elementi.
Mentre sicurezza ed efficienza devono procedere di pari passo in modo che ognuna possa potenziare l’altra, non ci si dovrà invece arrendere con troppa leggerezza alle richieste di una maggior semplicità d’uso.
È noto che se un sistema è troppo semplice potrebbe significare che la sua sicurezza è stata sacrificata oltremodo. Al contempo, un sistema efficiente e sicuro potrebbe non essere semplice e ciò potrebbe causare una minore diffusione nonché utilizzo da parte degli utenti.
La nuova sensibilità delle istituzioni
È indubbio che, negli ultimi tempi, l’interesse delle istituzioni verso la sicurezza delle infrastrutture digitali è gradualmente aumentata. A partire dal d.l. 105/2019 sul perimetro di sicurezza nazionale cibernetico, si è giusti alla costituzione di una Agenzia per la cybersicurezza nazionale.
La normativa prevede[1] non solo la consultazione del Garante da parte dell’Agenzia, – come del resto è d’obbligo che avvenga qualora si tocchino aspetti di competenza del Garante – ma prescrive la collaborazione tra le stesse.
È evidente che le due autorità sono poste su un piano imprescindibile di equiparazione per giungere ad una proficua collaborazione (esempio quello dei data breach) cosicché ognuna, con riguardo alle proprie specifiche competenze, possa contribuire in materia di sicurezza.
La ragione di tale equiparazione è chiara se ritorniamo sul concetto espresso inizialmente secondo cui il Regolamento dedica particolare attenzione al tema della sicurezza ma, allo stesso tempo, ne amplifica i confini fino a ricomprendervi i diritti fondamentali e la dignità della persona.
Dunque, la sicurezza del trattamento è un’esigenza che il Regolamento ha elevato a principio generale la cui assenza rende il trattamento illecito. Tale principio si evince in una serie di disposizioni quali quelle sulla privacy by design e by default ma anche la valutazione d’impatto nonché l’adozione di tecniche e misure di sicurezza come la crittografia, l’anonimizzazione o la pseudonimizzazione, il backup ma anche la formazione del personale.
Le conclusioni
Orbene, il bene giuridico tutelato non è soltanto l’infrastruttura e la loro integrità, l’operatività dei sistemi, la disponibilità e la riservatezza dei dati, ma anche i diritti e gli interessi delle persone collegati ad essi. È proprio qui che il Regolamento rappresenta un valore aggiunto nell’ambito della sicurezza informatica nonché la ragione per cui cybersicurezza e trattamento dei dati personali devono muoversi di pari passo.
In conclusione, il rispetto dei principi regolati dal GDPR in materia di corretto trattamento dei dati personali si combina perfettamente con le regole tecniche di sicurezza.
La sicurezza informatica non è fine a sé stessa ma è orientata a tutelare l’inviolabilità tecnica del contenuto delle infrastrutture, ovvero le informazioni strategiche, i contenuti sensibili di interesse collettivo ma, anche e soprattutto, la tutela della persona e dei dati personali.
NOTE
Art. 7, comma 5, d.l. 82/2021 «Nel rispetto delle competenze del Garante per la protezione dei dati personali, l’Agenzia, per le finalità di cui al presente decreto, consulta il Garante e collabora con esso, anche in relazione agli incidenti che comportano violazioni di dati personali». ↑