GDPR e cybersecurity: tra novità e criticità

Il rispetto del GDPR è il presupposto per l'adozione di un piano di sicurezza informatica. Anzi, il legame tra GDPR e cybersecurity è tale che il 26 gennaio 2022 le due autorità nazionali, Garante privacy e Agenzia per la cybersecurity nazionale, hanno sottoscritto un protocollo di intesa che include anche il monitoraggio congiunto dei data breach, in modo tale che nell'eventualità il Garante che provvederà a informare l'Agenzia delle notizie di data breach rilevanti ai fini della cybersicurezza del paese.

La sigla del protocollo d'intenti rappresenta un momento molto importante per la tutela dei dati personali e della stessa cybersecurity nel nostro Paese. Si attua, così, una previsione particolarmente lungimirante della disciplina istitutiva dell'Agenzia, laddove delinea nella cooperazione con il Garante uno dei punti qualificanti della strategia di tutela della cybersicurezza. Senza una normativa unica che obblighi tutti a porre al centro dei loro processi decisionali la sicurezza informatica, siamo sempre in una situazione frammentata. 

Eppure, se analizziamo con attenzione, un privato quanto un pubblico, trattano dati e questi sono sia personali che non, ma non sono separabili in un sistema informatico. Anche in caso di un server dove vengono distribuiti i dati secondo la distinzione personali e anonimizzati, questi saranno sempre dentro una rete aziendale, e quindi anche pubblica.

Una normativa principale, che guida tutti i processi decisionali di pianificazione della sicurezza informatica esiste, quindi, e forse molti lo hanno capito, anche solo come effetto delle misure che bisogna adottare per proteggere i dati.

Due sono i riferimenti che bisognerebbe prendere in considerazione. Prima di tutto l'art.5 del GDPR, e quindi il principio di accountability, di responsabilizzazione. L'imprenditore o il dirigente della PA, se sono responsabili della protezione dei dati personali, di fatto sono responsabili di tutto il sistema di protezione dei dati, personali e non, perché non sono scindibili e non avrebbe senso scindere i due temi dalla sicurezza informatica.

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. L'art. 32 è uno dei più importanti e fondamentali articoli del GDPR, perché impone al titolare del trattamento dei dati di adottare misure di sicurezza e questo impatta su tutto il sistema informativo. Anche i dati anonimizzati ne giovano, anche i dati "non personali", spesso parte del know-how aziendale. Non è possibile proteggere una parte del valore di una organizzazione e lasciare non protetto il resto. Inoltre, la stessa determinazione dell'art.32 imponendo misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio sta sintetizzando in poche righe alcuni dei cardini della Sicurezza Informatica.

Questo implica che una normativa unica per tutti, pubblico e privato, un insieme di regole di alto profilo che impongono di adottare misure di sicurezza Informatica ci sono e sono contenute nel GDPR. Questo impone a sua volta, sempre coerentemente con le disposizioni del GDPR, il rispetto degli standard, l'uso di certificazioni, e tutta una serie di modalità di lavoro che hanno come conseguenza finale la messa in sicurezza del sistema informatico e informativo.

Per quanto riguarda la Pubblica Amministrazione, dove AgID sta svolgendo da anni un lavoro eccellente su tutti i fronti che toccano la Sicurezza Informatica, dalla formazione, al monitoraggio delle misure di sicurezza, dei data center fino alle linee guida per produzione di software sicuri. Dal 31 dicembre 2017, data entro la quale le PA dovevano adottare le misure di sicurezza, è difficile immaginare che le PA abbiano gestito il tema e siano in linea con le linee guida di AgID. Nel caso della PA dobbiamo quindi sottolineare che esisterebbe una normativa puntuale, dall'art.51 del CAD in poi, che viene spesso disattesa.

Non rimane da sottolineare che se si adottano metodi, processi, strumenti e cultura della sicurezza informatica per proteggere i dati personali, si protegge l'intero patrimonio e la produttività dell'azienda o dell'ente pubblico. La sinergia che si sta costruendo tra autorità nazionale rappresenta a livello macro quello che dovrebbe succedere a livello micro nelle aziende o nelle PA.