data protection

Libera circolazione dei dati in Europa, i nodi della convergenza delle norme

Promuovere la libera circolazione dei dati è un importante obiettivo Ue, ma non si potrà realizzare senza una completa protezione dei dati personali da un lato e la libera concorrenza dei fornitori del mercato dall’altro. A questi scopi concorre il Gdpr ma anche molte altre norme. Vediamo come garantire la compliance

Pubblicato il 29 Lug 2019

Elisa Costantino

Legal Consultant P4I

data-protection

Con il GDPR abbiamo compreso che si è definitivamente creato uno spartiacque da un modo di intendere la data protection a “misura di Paese”, al di là delle specificità locali che ogni singolo Stato continua a mantenere. Si è così creata una certa uniformità normativa che consente alle imprese (e alle PA) di poter affrontare la “compliance” uniformemente in tutta UE.

Ma di quale “compliance” parliamo quando prendiamo in considerazione il GDPR?

Le novità del Gdpr

Il GDPR, a ben vedere, è stato percepito non solo come la naturale evoluzione della Direttiva Madre del 1995, ma anche come una sua innovazione.

A differenza infatti della previgente disciplina, il Regolamento 2016/679 si focalizza anche sulle misure di sicurezza che devono essere poste in essere per garantire una tutela efficace dei dati personali. Previsioni quali quella ex art. 32 (Sicurezza del trattamento) o ex art. 35 (Valutazione d’impatto sulla protezione dei dati), o ancora la centralità data alla figura del data protection officer, sono novità che evidenziano l’intenzione del legislatore europeo di assicurare la tutela degli interessati anche attraverso gli obblighi di implementazione da parte dei titolari di adeguate misure di sicurezza del trattamento.

Nella maggior parte dei casi non si tratta di standard predisposti dalla legge, ma di valutazioni effettuate in un’ottica di accountability e valutazione dei rischi dai soggetti stessi sottoposti alla disciplina e sulla base dei principi posti a fondamento di questa.

Tutte le normative sulla sicurezza dei dati

Questo disegno non è proprio solo del GDPR, ma si ripresenta in maniera analoga anche nelle altre normative riconducibili alla strategia europea del Digital Single Market di cui sopra, tra le quali, la Direttiva 2016/680 (cd. Direttiva Polizia), la Direttiva NIS, il Regolamento eIDAS e la Direttiva PSD2. Il quadro si completa poi con due norme recentissime, i Regolamento sui Dati Non Personali (cd. “Free Flow Data”), volto alla rimozione degli impedimenti alla circolazione dei dati non personali, e il Cybersecurity Act, che rafforza la posizione dell’ENISA e introduce un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali.

Analizzandone i contenuti, emerge come non solo le previsioni relative all’information security siano affini, ma in determinati casi il legislatore abbia scelto di utilizzare esattamente gli stessi termini, uniformando in parte la disciplina di settori diversi.

Se il GDPR stabilisce che debbano essere attuate misure tecniche e organizzative adeguate a garantire un livello di sicurezza congruo rispetto ai rischi correlati al trattamento dei dati personali, lo stesso prevedono la direttiva Police (riferita ai dati personali trattati da parte delle autorità competenti a fini di “polizia”), la direttiva NIS (in merito alla sicurezza della rete e dei sistemi informativi), l’eIDAS (riguardante i servizi fiduciari) e la PSD2 (prestatori di servizi di pagamento).

Da questa premessa, ci si interroga sull’opportunità – per i soggetti che debbano adeguarsi a più normative tra quelle sopra citate – di predisporre dei modelli che integrino gli elementi ulteriori e differenziali per garantire allo stesso tempo la compliance a tutte le normative che devono essere osservate.

Si considera infatti che, prevedendo un adeguamento unico, l’effort complessivo potrebbe essere notevolmente ridotto evitando di ripetere valutazioni già compiute in riferimento agli obblighi normativi già adempiuti.

Inoltre, anche la gestione degli incidenti presenta molti parallelismi tra le normative in analisi: nei casi in cui la notifica della violazione debba essere fatta a due o più diverse Autorità, la disponibilità di un modello generale che contenga gli elementi comuni potrebbe essere utile, soprattutto in considerazione degli stretti tempi massimi per la comunicazione dei suddetti incidenti alle Autorità di riferimento.

Le peculiarità del Gdpr rispetto alle altre normative

Tuttavia, bisogna anche prendere in considerazione l’evidente differenza che sussiste concretamente tra il GDPR e tutte le altre norme succitate.

Con il GDPR si sancisce infatti per la prima volta l’«obbligo» generalizzato a (praticamente) tutte le aziende di valutare una particolare tipologia di rischio: quello «degli altri» (i.e. «diritti e libertà degli interessati»). In tutte le altre norme citate in precedenza, invece, il rischio di cui si tratta non riguarda gli interessati (dipendenti, clienti o fornitori che siano rispetto al titolare) bensì i rischi operativi.

Si può però definire una metodologia e attuare un’analisi che, seppur con uno sforzo che richiede una competenza elevata, capitalizzi rispetto a tutti gli obiettivi (normativi) comuni. Essendo l’attività di analisi del rischio onerosa, in definitiva non risulta indifferente il vantaggio derivante dalla possibilità di riutilizzare gran parte del lavoro. Infatti, nella procedura di valutazione del rischio, elementi quali l’identificazione dei servizi IT e degli asset impattati richiedono uno sforzo inversamente proporzionale al numero delle tipologie di rischio prese in considerazione.

La crescente pressione degli attacchi di sicurezza, inoltre, richiede approcci moderni nella scelta di cosa difendere.

La scelta delle misure da attuare

È quindi importante stabilire le relazioni tra i diversi tipi di rischio, sia in fase di analisi, sia di gestione degli stessi. Per quanto riguarda la fase di analisi di minacce e vulnerabilità, per esempio, la valutazione di probabilità è praticamente sempre riutilizzabile, influenzata al più (e non sempre in modo significativo) dall’«appetibilità» del soggetto.

Nei rapporti cliente-fornitore la definizione di probabilità e/o impatti, intesi come scale di valutazione dei rischi, può facilitare la gestione coordinata di questi. È naturalmente necessario optare per un’uniformità nella definizione degli scenari e del tipo di eventi la cui probabilità deve essere valutata (es: data breach vs. infezione da malware). In ogni caso, si può dire che risulta più semplice quantificare e riutilizzare la probabilità come «che si verifichi il danno» anziché «che si verifichi la minaccia».

In fase invece di gestione del rischio, la scelta delle misure da attuare può basarsi su più prospettive che devono essere bilanciate (o «controbilanciate»). La soluzione ideale in questo caso è – anziché trovare molte diverse soluzioni per mitigare rispettivamente molti diversi rischi – quella di individuare la soluzione che offre il risultato ottimale nella prospettiva dell’azienda (i.e. costi, competenza, manutenzione nel tempo…).

La convergenza delle responsabilità nella gestione di diversi rischi può costituire così anche un’opportunità per avere, al contempo una maggiore competenza, capacità decisionale e di assunzione del rischio, nonché coordinamento nella gestione integrata dei rischi, efficienza nell’analisi, chiarezza degli obiettivi.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2