Il Garante privacy europeo promuove con riserva la Direttiva NIS 2. Con una opinion diffusa l’11 marzo l’EDPS ha esaminato il testo della revisione della Direttiva NIS (Network and Information Security) in tema di cyber security licenziato dalla Commissione Europea. In queste settimane il Garante Europeo ha emanato numerose opinion su altrettante normative complementari al GDPR di prossima emanazione in ambito comunitario.
L’approccio del Garante si è fatto molto rigoroso e pretende una compiuta presa di posizione da parte del legislatore europeo circa le normative che potrebbero avere una ricaduta sulla protezione dei dati personali, come il Data Governance Act e il Regolamento e-Privacy, il cui nucleo centrale è e deve rimanere, senza sovrapposizioni e incongruenze, il GDPR. In quest’ottica va letto il parere del Garante, che comunque plaude all’iniziativa comunitaria tesa alla protezione dello spazio informatico dell’Unione e alla promozione di sistemi informatici fondati su hardware e software europei.
Particolarmente gradita all’EDPS è poi la promozione dell’utilizzo della crittografia a tutela dei dati personali, contenuta nella proposta di direttiva. Questa tecnologia, menzionata in più occasioni nel GDPR, senza dettagli sulle caratteristiche tecniche della sua implementazione (per evitare una rapida obsolescenza della normativa), se adeguata allo sviluppo tecnologico ed alla tipologia di dati trattati, è uno strumento che ormai costituisce un punto di partenza imprescindibile per la protezione dei dati personali da parte di soggetti pubblici e privati.
Cosa dice l’EDPS sulla NIS 2
Dopo che lo scorso dicembre la Commissione Europea ha adottato una proposta di Direttiva per garantire un livello di cybersicurezza elevato in tutta l’Unione, la cosiddetta Direttiva NIS che abrogherà la direttiva (UE) 2016/1148, il Garante Europeo ha formulato l’11 marzo scorso le sue osservazioni sul testo della bozza di direttiva.
Direttiva NIS 2, tutte le raccomandazioni del Garante privacy europeo
Contrariamente a quanto accaduto con la proposta di regolamento sul Data Governance Act, oggetto di un’Opinion diffusa il 9 marzo scorso [LINK DGA], l’EDPS ha sostanzialmente “promosso” la proposta normativa di cui alla Direttiva NIS, concentrandosi anche qui però sulla necessità di evitare sovrapposizioni fra la Direttiva e il GDPR.
Il Garante in particolare sottolinea la necessità di garantire accesso ad un web che sia globale e aperto ma che presenti, al contempo, forti tutele per i rischi per la sicurezza e per i diritti fondamentali. In quest’ottica il Garante Europeo plaude all’iniziativa di revisione della Direttiva NIS nella misura in cui propone e promuove l’introduzione di misure di sicurezza più rigorose a tutela dei cittadini e delle istituzioni europee.
In particolare, il plauso del Garante va alla promozione della creazione di un sistema DNS resolver europeo, alla costituzione di un Cybersecurity Industrial, Technology and Research Competence Centre and Network of Coordination Centres (CCCN) e all’iniziativa tesa alla costruzione di una quantum communication infrastructure (QCI) europea.
Il Garante, al contempo, segnala l’opportunità di una armonizzazione a livello normativo e di istituzioni, di modo da evitare innanzitutto contrasti fra normative e riconoscendo la centralità del GDPR in tema di protezione dei dati personali. Questa armonizzazione dovrebbe consentire di raggiungere un livello di protezione uniforme a livello comunitario. Il parere raccomanda quindi un “approccio olistico” che consenta sinergie nella gestione della sicurezza informatica e nella protezione dei dati personali.
La preoccupazione radicata in questa Opinion, così come in quella che riguarda il DGA, è che qualsiasi potenziale limitazione del diritto alla protezione dei dati personali deve passare attraverso i “canali” previsti dal GDPR.
Dunque, se anche le singole normative possono introdurre limitazioni ai diritti degli interessati, queste devono soddisfare in ogni caso il GDPR nonché i criteri di cui all’articolo 52 della Carta Europea dei Diritti Fondamentali, che prescrive il rispetto dei principi di necessità e proporzionalità.
Il Garante Europeo segnala a questo punto che la Direttiva sarà chiamata a disciplinare la gestione dei registri di domini di primo livello su internet e che sarà quindi necessario affinare la normativa sul punto, declinando disposizioni ad hoc nel testo definitivo.
Ulteriore preoccupazione del Garante è quella da parte dei vari CSIRT (Computer Security Incident Response Team) nazionali. La proposta di Direttiva li incarica infatti di effettuare “scansioni proattive” delle reti e dei sistemi utilizzati dalle pubbliche amministrazioni e a detta del Garante si tratta di una definizione non sufficientemente circoscritta, che potrebbe portare a indebite estensioni dell’attività dei CSIRT.
I dati WHOIS
Un punto delicato della Direttiva NIS è quello relativo alla gestione dei cosiddetti “dati WHOIS”, che fino a prima dell’entrata in vigore del GDPR avevano costituito un utile “faro” per i naviganti del web, consentendo ad esempio di individuare siti truffaldini, ed oggi invece si trovano spesso ad offrire dati parziali e “schermati” non potendo i gestori dei servizi divulgare dati personali dei vari titolari dei nomi a dominio sul web senza consenso.
Una situazione che probabilmente avrebbe giovato di un meccanismo di opt-out (quantomeno in via transitoria), ha così visto un tracollo verticale delle informazioni fornite (anche considerando la difficoltà iniziale di individuare e separare i dati relativi a persone giuridiche, che avrebbero potuto essere mantenuti, da quelli relativi alle persone fisiche, da cancellare). La Direttiva NIS non si discosta però da quanto stabilito dal GDPR, limitandosi a stabilire la possibilità, per le banche dati WHOIS, di pubblicare i dati rilevanti relativi al dominio quando non si tratta di dati personali.
Il Garante, nel proprio parere sostanzialmente favorevole anche a questa innovazione, non manca però di evidenziare come sia necessario precisare cosa si intende per “dati rilevanti” e quali categorie tra queste vadano pubblicate nel caso in cui il titolare sia una persona fisica. La Direttiva prevede poi un meccanismo per l’accesso ai dati in caso di “accesso legittimo” da parte di un interessato, disposizione opportuna per consentire ai soggetti che abbiano un preciso interesse con riferimento a un singolo sito di conoscere i dati del soggetto che ne detiene i diritti. Anche qui il Garante censura però la genericità della definizione e il mancato raccordo con il GDPR, raccomandando che il testo finale della direttiva si doti di una definizione specifica e in linea con il GDPR, risolvendo così questo problema di forma.
La Crittografia nella Direttiva NIS
Il Garante infine accoglie con favore l’invito a promuovere l’uso della crittografia, e in particolare la crittografia end-to-end, contenuto nella Direttiva. La Direttiva NIS introduce infatti all’articolo 18 la crittografia nell’elenco delle garanzie minime per il perimetro di cyber sicurezza. La Direttiva evita però di riconoscere la possibilità di crittografare dati senza limiti e afferma la necessità di “riconciliare” l’utilizzo di queste tecnologie con il bisogno degli Stati membri di garantire i propri interessi essenziali di sicurezza e per consentire l’indagine, l’accertamento e il perseguimento di reati in conformità con il diritto dell’Unione Europea.
A detta del Garante l’introduzione di strumenti che consentano a determinate autorità investigative di aggirare la crittografia (ad esempio, utilizzo di backdoor, deposito di chiavi, etc.) priverebbe completamente il meccanismo di qualsiasi capacità di protezione efficace a causa del possibile uso illecito di queste backdoor, con conseguente perdita di fiducia nel livello di sicurezza offerto dalla crittografia.
Il Garante, quindi, propone di inserire nella proposta di direttiva NIS un chiarimento teso ad evidenziare come la normativa non possa essere interpretata come legittimazione all’indebolimento della crittografia end-to-end tramite backdoor o soluzioni simili.
Il rapporto con le altre norme
La “maturazione” del GDPR, strumento che si è ormai spogliato dai tentennamenti che hanno caratterizzato l’approccio dei Garanti (o almeno, di alcuni Garanti) nei primi anni di applicazione del Regolamento GDPR, comporta un approccio estremamente puntuale e rigido da parte del Garante Europeo quando si tratta di esaminare la normativa che potrebbe incidere sulla protezione dei dati personali dei cittadini UE, per evitare che si vengano a creare “settori speciali” in cui le garanzie del GDPR vengono indebitamente attenuate, o che comunque possano contribuire a creare confusione sul punto, come del resto evidenziato dal Garante, di concerto con il Gruppo Europeo dei Garanti, nella recente Opinion sul Data Governance Act.
Un’ulteriore direttiva di sviluppo è quella relativa alla crittografia, strumento che ad oggi il Garante UE considera essenziale per proteggere i dati personali e che dovrebbe divenire, nell’ottica dell’EDPS, quasi un prerequisito per il trattamento dei dati, specie quando il loro trattamento comporta un possibile accesso agli stessi online.
Crittografia e GDPR
Il Garante evidenzia inoltre come questa tecnologia non possa essere bypassata da tecniche che ne consentano l’accesso. Sebbene l’EDPS riconosca il diritto degli Stati membri a portare avanti attività di indagine che potrebbero dover consentire l’accesso ai dati crittografati, non propone alcuna soluzione di contemperamento delle esigenze, limitandosi a dire che verrebbe meno la fiducia in questi sistemi di crittografia se fossero presenti dichiarate backdoor e che le stesse, ove presenti, diminuirebbero la sicurezza del sistema. Non resta quindi, nelle idee del Garante, che contare sulla collaborazione dei soggetti che possiedono dati crittografati per ottenere l’accesso agli stessi, sanzionando la mancata collaborazione.
Il Garante promuove questo strumento anche nel frangente della trasmissione del dato, soffermandosi sull’utilità della c.d. crittografia end-to-end (E2EE) che garantisce la riservatezza dei dati anche nel momento “dinamico” della loro comunicazione e che è stata richiamata dal Garante anche nel recente Statement relativo al Regolamento e-Privacy, un altro caposaldo della sicurezza informatica a detta dell’EDPS, che diventerà col tempo verosimilmente un pre-requisito per la trasmissione dei dati online.
Del resto, il GDPR impone un livello di protezione adeguato per i dati personali trattati in ambito comunitario e, se una tecnologia si diffonde a macchia d’olio, è evidente che presto o tardi si trasformerà in un requisito minimo per il trattamento dei dati online.