Il 15 novembre, l’European Data Protection Supervisor (EDPS), Wojciech Wiewiórowski, ha pubblicato il parere sulla proposta di regolamento nota come Cyber Resilience Act. La Proposta ha lo scopo di migliorare il funzionamento del mercato interno stabilendo un quadro giuridico uniforme per i requisiti essenziali di cibersicurezza per l’immissione di prodotti con elementi digitali sul mercato dell’Unione.
Indice degli argomenti
Il Cyber Resilience Act
La Proposta si applica a qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware da immettere sul mercato separatamente, il cui uso previsto o ragionevolmente prevedibile include una connessione diretta o indiretta logica o fisica di dati a un dispositivo o a una rete.
Ciò comprende sia i prodotti che possono essere collegati fisicamente attraverso interfacce hardware e prodotti che sono collegati logicamente, ad esempio tramite application programming interfaces (API) e qualsiasi altro tipo di interfaccia software.
La proposta assume una rilevanza cardine nel contesto del digitale in quanto ha lo scopo di aumentare il livello di sicurezza dei prodotti immessi sul mercato, riducendo i rischi per le attività economiche e sociali, nonché per i diritti fondamentali tra cui il diritto delle persone fisiche alla tutela dei loro dati.
Cyber security e certificazioni, l’attualità legislativa in Italia e in Europa: luci e ombre
Le considerazioni del Garante europeo
L’EDPS ha accolto con favore nel proprio parere la Proposta di Cyber Resilience Act, indicando alcune osservazioni relative a:
Principi di sicurezza
L’EDPS rimarca l’importanza della sicurezza (art. 5, par. 1, lett. f) GDPR) che è uno dei principi fondamentali del trattamento dei dati personali e che si rivolge sia ai titolari del trattamento che ai responsabili.
Per tale ragione, è accolta positivamente l’integrazione dei principi di sicurezza e di minimizzazione dei dati tra i requisiti essenziali di cibersicurezza di cui all’Allegato 1 della proposta e sottolinea l’estrema importanza della sicurezza informatica dei prodotti con elementi digitali utilizzati dalle persone al fine di proteggere i loro diritti e le loro libertà;
Principio di privacy by design e by default
In conformità all’art. 25 del GDPR, la sicurezza e la protezione dei dati per progettazione e per impostazione predefinita sono elementi essenziali per garantire la compliance con le disposizioni in materia di protezione dei dati personali e, per tale ragione, è necessario ricorrere all’uso di tecnologie che consentano di “migliorare la privacy” (cd. privacy enhancing technology), come per esempio la crittografia e la pseudonimizzazione.
L’EDPS offre alcune indicazioni anche in merito all’ambito di applicazione del GDPR in relazione ai fabbricanti di prodotti digitali. Infatti, il Garante europeo precisa che il GDPR non si rivolge direttamente ai fabbricanti di prodotti con elementi digitali, ma solo ai titolari del trattamento, quando tali prodotti sono incorporati nei loro sistemi ICT.
Cyber Resilience Act: così l’UE proverà a garantire la sicurezza dei prodotti digitali in rete
Progettare i prodotti pensando alla privacy
In tal senso, risulta essenziale applicare i principi di privacy by design e by default anche a tali prodotti. Quindi, assicurare l’applicazione di questi principi in merito ai prodotti, includendo quindi il principio della protezione dei dati per progettazione e per impostazione predefinita nei requisiti essenziali di cyber security dei prodotti con elementi digitali, consentirebbe ai Titolari di ottemperare a quanto previsto dalla normativa di riferimento.
Sinergie europee per una cybersicurezza comune
La Proposta, inoltre, dettaglia la possibilità di creare sinergie in materia di standardizzazione e certificazione della cibersicurezza attraverso la cooperazione di soggetti quali Commissione europea, l’European Data Protection Board (il comitato dei Garanti degli stati membri), l’ENISA.
L’EDPS in tal senso suggerisce di specificare, nella parte operativa della Proposta, i relativi aspetti pratici di creazione di tali sinergie, le quali necessitano di disposizioni specifiche di attuazione per poter esplicitare a pieno i loro relativi effetti benefici nel mercato.
Infine, occorre sottolineare che l’EDPS ritenga molto positivo il fatto che la Proposta riconosca il trattamento dei dati personali come una funzione critica e sensibile e che, in quanto tale, potrebbe richiedere che i prodotti critici contenenti elementi digitali ottengano di un certificato europeo di cibersicurezza.
Alla luce delle indicazioni dell’EDPS è importante però ricordare che il certificato europeo di cibersicurezza così come definito nella Proposta non garantisce che un particolare prodotto con elementi digitali sia conforme al GDPR.
Pacchetto digitale UE, l’alert di EDPB: ecco i problemi privacy
I punti di incontro tra cyber security e data protection
Il parere dell’EDPS conferma ancora una volta come la cyber security debba essere contemperata con la data protection. Nello stesso tempo, conferma la necessità di intervenire per migliorare il mercato interno dei prodotti con componenti digitali.
Su questo, l’approccio del Cyber Resilience Act, come quello di altre norme orientate al prodotto, è di fatto complementare al GDPR per quanto riguarda i rischi connessi alla supply chain. Il GDPR non pone direttamente degli obblighi ai fabbricanti di prodotti, ma solo indirettamente attraverso i requisiti posti dai Titolari, che spesso sono di difficile applicazione sull’intera filiera.
Per contro, il Cyber Resilience Act impone al produttore di valutare e mitigare i rischi di cyber security per avere accesso al mercato Europeo, fornendo poi all’utente, ad esempio al Titolare, gli strumenti per valutare i rischi residui e l’adeguatezza o meno del prodotto ad essere utilizzato nel proprio contesto.
Di fatto occorre ricordare che la normativa privacy e quella cyber security hanno il medesimo obiettivo finale, ovvero che le organizzazioni adottino misure tecniche e organizzative adeguate e puntuali, col fine di garantire un elevato livello di sicurezza, in modo da prevenire e di minimizzare i rischi degli incidenti ai danni di reti e sistemi informatici, tutelando in modo parallelo anche i dati personali.
Le interazioni tra cyber security e data protection saranno sempre più rilevanti soprattutto in considerazione dell’obiettivo dell’Unione Europea di costruire solide basi per il “futuro digitale” dell’Unione stessa, grazie anche a specifiche normative in tema di cyber security, le quali si integreranno sempre di più con la normativa data protection.
