Dopo un iter legislativo durato 4 anni il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale UE il nuovo Regolamento dell’Unione Europea n. 2016/679 sulla protezione dei dati, meglio noto come GDPR (General Data Protection Regulation). Il Regolamento è entrato in vigore il 25 maggio 2016 per diventare poi definitivamente ed automaticamente applicabile in tutti i Paesi UE a partire dal 25 maggio 2018. In tale data le Pubbliche Amministrazioni avranno l’obbligo tassativo di aver introdotto gli opportuni provvedimenti organizzativi supportati da strumenti tecnici e tecnologici al fine di implementare i principi di protezione dei dati in modo efficace. La disciplina normativa subirà dunque cambiamenti sostanziali recependo principi e adempimenti nuovi in Italia. Tra questi merita particolare attenzione il c.d. principio di accountability (“responsabilizzazione”) ovvero il principio in base al quale si richiede al titolare del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato conformemente al Regolamento. Nell’ottica del GDPR ha assunto un ruolo centrale il concetto di sicurezza informatica in conseguenza del grande sviluppo del mercato digitale e dell’Internet of Things che hanno aperto scenari molto diversi rispetto al passato e che purtroppo comportano sempre più numerosi attacchi ed incidenti di natura informatica che lasciano intuire una preoccupante tendenza alla crescita di tale fenomeno e della cosiddetta minaccia cibernetica. Il titolare del trattamento pertanto, in virtù del predetto principio dell’accountability dovrà mettere in atto tutte le misure preventive volte ad impedire il successo dell’attacco e tali misure dovranno essere anche affiancate da efficaci strumenti di rilevazione, in grado di abbreviare i tempi, oggi troppo lunghi, che intercorrono dal momento in cui l’attacco è avvenuto e quello in cui le conseguenze vengono scoperte. In questo contesto diventa dunque fondamentale l’analisi delle vulnerabilità del sistema informatico. La rete o il sistema d’informazione dovrà infatti essere capace di resistere, a un ragionevole livello di sicurezza, a eventi imprevisti o atti illeciti che potrebbero compromettere la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi. Più nello specifico, l’art. 32 del Regolamento stabilisce che tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio. Tra le varie misure adottabili vi sono, a titolo esemplificativo, la pseudonimizzazione – ovvero il principio per cui le informazioni di profilazione devono essere conservate in una forma che impedisca l’identificazione dell’utente – , la cifratura dei dati personali, la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali, la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico nonché una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Solo una piena consapevolezza delle nuove disposizioni e la concreta volontà di mettersi in regola, permetterà l’attuazione del GDPR garantendo una gestione intelligente dei sistemi di trattamento dei dati secondo il principio dell’ efficienza e non del semplice formalismo. A tal fine Halley offre a tutti i soggetti pubblici un aiuto nella conoscenza delle nuove norme e offre supporto nell’attuazione degli adempimenti previsti dal Regolamento verificando caso per caso la vulnerabilità dei sistemi informatici e offrendo gli strumenti tecnici necessari per adeguarsi alle disposizioni del GDPR.
Avv. Federica Spuri Nisi