Il quadro normativo dal 25 maggio 2018
La Direttiva EU Network and Information Security (NIS) n° 1148/2016 è in vigore dall’8 agosto 2015 con misure per la sicurezza di reti e sistemi informativi in tutta l’Unione Europea. Il Regolamento EU Electronic Identification Authentication and Signature (EIDAS) n° 910/2014 è entrato in vigore il 17 settembre 2014 ed è applicabile dal 2016 per l’identificazione elettronica, i servizi fiduciari e le transazioni elettroniche e sostituisce la Direttiva Europea 1999/93/EC sulle firme elettroniche e le relative leggi nazionali di recepimento. A questi si aggiunge il Regolamento Generale sulla Protezione dei Dati e la Privacy il (GDPR) General Data Protection Regulation n. 679/2016, che sostituisce, modifica ed integra la Direttiva 95/46/CE e per l’Italia il Codice della Privacy D.L. 196/2003 È entrata in vigore il 24 maggio 2016 e diviene applicabile senza necessità di recepimento o possibilità di modifica o dilazione dal 25 maggio 2018.
I Regolamenti Europei come GDPR ed EIDAS non richiedono recepimento da parte degli Stati membri quindi EIDAS è già attivo e GDPR entrerà in vigore dal 24 maggio 2018 e tutti dovranno immediatamente osservarne le linee guida pena multe severissime sino a 20 milioni di € o sino al 4% del fatturato lordo internazionale globale per ogni singola trasgressione. Attualmente le imprese hanno utili del 5% con quelle che agiscono più efficacemente sul mercato che arrivano al 10% e poche che superano questo limite. Quindi anche una sola sanzione potrebbe azzerare l’intero utile annuale e questo fa comprendere quanto sul serio debbano essere prese queste norme. NIS come Direttiva non è immediatamente applicabile ma obbliga gli Stati membri a completare l’iter di recepimento entro il 9 maggio 2018. L’Italia è in ritardo con l’iter parlamentare ancora in corso mentre Germania e altri Paesi lo hanno già completato fra questi persino l’Inghilterra nonostante la Brexit e questo la dice lunga sull’importanza della Direttiva EU recepita dal Regno Unito nonostante non sia più obbligata a farlo. Per la NIS la definizione degli importi delle sanzioni la scelta viene lasciata ai singoli Paesi ma il Regno Unito, ad esempio, ha già definito i medesimi valori della GDPR (20 milioni di € ecc.).
Dal 9 e dal 25 maggio 2018 sarà operativo, senza possibilità di deroghe, un quadro di norme sulla sicurezza informatica che detterà i riferimenti per tutti nel settore pubblico e privato e riguarderà anche la privacy e il Garante della Protezione dei Dati Personali.
Norme per tutti
La Commissione Europea intende rendere efficaci ed imprescindibili queste norme nella quotidianità per tutti: amministrazioni pubbliche, società private e professionisti in modo da costituire un riferimento globale con norme e disposizioni tecniche e giuridiche che disciplinano le tecnologie Cloud e ICT, la protezione dei dati personali o Privacy, la sicurezza di sistemi e reti. Per la loro complessità richiedono la consulenza di esperti qualificati definiti come: Data Protection Officer, Privacy Officer e SGSI ISO:27001 che devono possedere complesse ed articolate esperienze professionali in campo giuridico e in quello informatico.
Le tre normative possiedono un orientamento unico ed obbligano a misure tecnico-organizzative adeguate per gestire i rischi legati alla sicurezza dei servizi garantendo sicurezza proporzionale ai pericoli e definiscono l’obbligo di notifica agli interessati (utenti fisici o giuridici) e all’autorità di controllo nei casi di violazione della sicurezza o perdita di integrità dei protocolli che abbiano un impatto significativo sui servizi offerti o sui dati personali custoditi e possano creare effetti negativi e rischi anche solo per i diritti e le libertà personali. Da sottolineare che queste notifiche devono essere esperite in termini di ore: 24 (EIDAS) e 72 (GDPR) a decorrere dal momento dell’accertamento della violazione.
Le norme EU sono vincolanti per tutti e impongono consulenti esperti del settore informatico preparati come ha previsto UniSanPaolo che ha già preparato moltissimi esperti e consulenti. Per la loro importanza possono essere equiparate alle norme per le strutture degli edifici che devono essere interpretate solo da ingegneri esperti del settore specifico escludendo a priori pseudo-tecnici non adeguatamente preparati. Proprio per questo le norme non definiscono i dettagli tecnici che giustamente lasciano alla professionalità dei consulenti i soli in grado di valutare le necessità specifiche di ogni singolo caso e l’inserimento delle tecnologie migliori man mano che queste si rendono disponibili. Queste norme sono coerenti, omogenee, e integrate per una protezione di dati e sistemi efficace che responsabilizza e rende arbitri del proprio successo singoli professionisti, società di ogni dimensione e pubbliche amministrazioni ad ogni livello. Proprio il settore pubblico che incoerentemente si è dotato di sistemi incompatibili, isolati, inefficaci e non integrati viene per rimo obbligato a nominare il DPO incaricato proprio a fornire soluzioni immediate per superare questi problemi così ampiamente diffusi a tutti i livelli della Pubblica Amministrazione..
Il Regolamento GDPR introduce concetti e ruoli importantissimi analoghi a quelli già introdotti in EU per la sicurezza e l’igiene. La sicurezza informatica deve essere pianificata accuratamente (con un piano programmatico simile a quelli HACCP) dal DPO acronimo di Data Protection Officer che analogamente al RSPP deve provvedere ad ogni necessità dalla formazione del personale alla pianificazione della sicurezza dell’hardware e del software indicando sistemi e protocolli efficaci per la sicurezza e verificando nel tempo che rimangano adeguati. Il passo successivo EU sarà certamente la definizione di standard di sicurezza per il produttori di hardware e software come avviene ad esempio per molti prodotti commercializzabili solo se dotati di specifica sicurezza e omologazioni che richiedono specifici test.
Il DPO (Data Protection Officer)
Il titolare o il dirigente sono responsabili civilmente e penalmente della sicurezza digitale ma possono opportunamente delegare una figura innovativa il DPO (Data Protection Officer) o direttore della protezione dei dati. Il DPO potrebbe essere scelto tra il personale ma è più efficace incaricare un professionista esterno di adeguata preparazione teorica e pratica con contratto di servizi autonomo dalle gerarchie interne. Tale nomina deve essere resa nota agli interessati e all’autorità di controllo pubblicando i dati di contatto del DPO similmente a quanto avviene con l’RSPP figura per molti versi analoga.
Il DPO deve (art. 39 GDPR): informare e fornire consulenza a tutti (titolare/dirigente, responsabile del trattamento dati e dipendenti) sugli obblighi derivanti dal Regolamento 679/2016 o dalle altre disposizioni legislative nazionali o EU circa la gestione e protezione dei dati; verificare l’osservanza delle normative, attribuire incarichi e responsabilità, sensibilizzare e formare quanti partecipano alla gestione dati; fornire valutazioni d’impatto e razionalizzare e sorvegliare politiche, protocolli e gestioni; cooperare con l’autorità di controllo fungendo da contatto per questioni connesse al trattamento dati, effettuare consultazioni con particolare riguardo alle attività di prevenzione, analizzare i rischi derivanti dalla gestione dati dei in base alla natura, ambito di applicazione, contesto e finalità del loro tipo e dei protocolli di gestione..
il DPO deve agire autonomamente e riferire direttamente solo ai vertici quindi il consulente esterno, non vincolato a gerarchie aziendali interne, è fondamentale per garantire quell’autonomia e quell’indipendenza richieste dalle norme. Il DPO deve gestire la sicurezza coadiuvato in ogni modo da tutti (titolare/dirigente, responsabili trattamento dati e dipendenti) disponendo di ogni risorsa umana e materiale necessaria oltre che economica ottenendo anche facoltà di spesa, analogamente a quanto richiesto per L’RSPP. Anche il DPO agisce in autonomia e tutti compreso il responsabile della protezione dati sono a lui subordinati e non possono svolgere compiti in conflitto o propri del DPO. Pur indipendente anche il DPO esterno è sempre vincolato alla riservatezza e deve anche poter essere contattato per le questioni relative al trattamento dei dati da tutti gli interessati.
Il DPO assume la responsabilità della protezione dei dati che viene affidata quindi ad un esperto di sicurezza digitale obbligato ad essere sempre aggiornato su problemi, potenziali pericoli e contromisure necessarie a prevenire e limitare rischi garantendo sicurezza e tutela adeguate. Anche oltre le norme la sicurezza digitale è fondamentale e lo sarà sempre di più quindi in ogni società, studio professionale e Pubblica Amministrazione che dovranno garantirla nominando un DPO esperto, esterno per quanto già illustrato.
Il DPO deve possedere estese competenze giuridiche ed informatiche associate a capacità di analisi, prevenzione e gestione dei rischi per redigere uno specifico piano di valutazione, pianificazione e protezione del trattamento dei dati personali definendo sistemi e protocolli efficaci nel rispetto delle norme EU. Il DPO acquisisce anche le funzioni già svolte in alcuni ambiti dai DSO (Data Security Officer) e CPO (Chief Privacy Officer). Il DPO deve essere nominato obbligatoriamente per la supervisione del trattamento dei dati:
• effettuato da enti pubblici di qualunque natura;
• quando soggetti privati gestiscono dati personali che per natura-ambito-finalità richiedono il monitoraggio sistematico degli interessati oppure consistono nella gestione di categorie di dati personali, particolari o sensibili cioè quando possano rivelare del soggetto: l’origine razziale o etnica, le convinzioni politiche/religiose/filosofiche/sindacali, elementi genetici-biometrici-identificativi, relativi a salute o orientamenti/abitudini sessuali delle persone oppure relativi a condanne penali e a reati specifici (art. 10).