La diversa implementazione del principio di “integrità e riservatezza” nel GDPR e nella LED

Il principio di “integrità e riservatezza” nel GDPR

I processi aziendali che comportano il trattamento di dati personali, per essere regolari, devono necessariamente essere conformi, fin dalla progettazione, ai principi di protezione dei dati personali stabiliti dall'art. 5 GDPR.

Tra questi principi spicca quello di “ integrità e riservatezza ” fissato dalla lettera f) del paragrafo 1 dello stesso art. 5. Si tratta del principio volto a salvaguardare l'organizzazione del titolare del trattamento da possibili violazioni di dati. Secondo questo principio, infatti, i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza degli stessi dati, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

La sicurezza del trattamento nel GDPR come “framework di requisiti”

Per implementare questo principio, il GDPR, quale regolamento generale, con l’art. 32 pone un insieme di misure generali e generiche che, secondo il vocabolario delle norme tecniche, ben potrebbe essere definito come “framework di requisiti” che comprende:

• la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
• una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Sono evidentemente misure di carattere generale, cioè, requisiti ma non adempimenti specifici che il vocabolario delle norme tecniche definisce controlli.

Nel corpus normativo disegnato dal GDPR, infatti, i controlli sono lasciati al prudente apprezzamento del titolare che, nel rispetto del principio di accountability, è chiamato a scegliere e ad applicare le misure tecniche ed organizzative specifiche adeguate alla propria organizzazione.

La sicurezza del trattamento nella LED come “framework di controlli”

Vi è, però, un'area dell'ecosistema della protezione dei dati in cui è stabilito un paradigma diverso.

È un'area in cui sussiste la necessità di garantire una sicurezza ancor più elevata e quindi di vincolare i players con delle misure specifiche, cioè con dei veri e propri controlli.

Si tratta di un insieme di misure posto dalla c.d. Direttiva UE 2016/680. È la c.d. Direttiva di polizia, nota con l'acronimo LED (Law Enforcement Directive) che è stata emanata per assicurare un livello uniforme ed elevato di protezione dei dati personali e contestualmente per facilitare lo scambio di dati personali tra le autorità competenti degli Stati membri al fine di garantire un'efficace cooperazione giudiziaria in materia penale e di polizia.

La LED è stata recepita nel nostro ordinamento con il d.lgs. 51/2018.

L'art. 25 di tale decreto, che è conforme al corrispondente art. 29 LED, in modo affatto diverso da quanto stabilito nell'art. 32 GDPR, per garantire la sicurezza degli specifici trattamenti eseguiti per finalità di polizia e di Giustizia, stabilisce, appunto, delle misure specifiche che non a caso, sono qualificate come “controlli”.

Si tratta, in effetti, di controlli di cybersecurity che costituiscono vere e proprie misure “operative”.

Si consideri, infatti, che per la loro descrizione viene utilizzato un linguaggio più incisivo e vincolante di quello usato nel GDPR, attraverso il ricorso a verbi come “vietare”, “impedire ”, “garantire ”. Sono verbi che postulano la necessità di compiere determinate attività e di ottenere precisi risultati, cioè degli outcome e non dei meri output.

Comparazione tra i controlli della LED ed i controlli del framework per la sicurezza nazionale cibernetica

Peraltro, questi controlli sono anche molto diversi dai controlli posti dall'allegato B al d.P.C.M. 14 aprile 2021 n.81 che ha definito lo stato dell'arte della cybersecurity in Italia, introducendo le misure di sicurezza per gli OSE e gli FSD, cioè gli attori del perimetro di sicurezza nazionale cibernetica.

I controlli di questo framework, infatti, non sono stabiliti utilizzando verbi che indicano attività da compiere o risultati da ottenere ma sono, invece, fissati attraverso la descrizione di specifici modelli e schemi da seguire.

Così, ad esempio, il primo controllo posto alla lettera a) del 2° comma dell'art. 29 della LED e del conforme art. 25 d.lgs. 51/2018, definito “controllo dell'accesso alle attrezzature” , è descritto, testualmente, come “misura volta a “vietare alle persone non autorizzate l'accesso alle attrezzature utilizzate per il trattamento”.

Il corrispondente controllo 3.1, inserito nell'allegato B al d.P.C.M. 81/2021, stabilisce invece testualmente che “l'accesso agli asset fisici e logici ed alle relative risorse è limitato al personale, ai processi e ai dispositivi autorizzati”.

La LED prescrive di vietare l'accesso ai non autorizzati, mentre il framework per il perimetro di sicurezza nazionale cibernetica sancisce che l'accesso è limitato solo agli autorizzati.

Appare evidente come La LED responsabilizzi maggiormente.

Analogamente, è possibile argomentare in modo simile per tutti gli altri controlli prescritti dal 2° comma dell'art. 29 della LED e dal conforme art. 25 del d.lgs. 51/2018.

Così, ad esempio, la seconda misura indicata alla successiva lettera b), denominata “controllo dei supporti di dati” è volta ad “impedire che supporti di dati possano essere letti, copiati, modificati o asportati da persone non autorizzate”. La corrispondente misura fissata nel framework posto dal d.P.C.M. 81/2021, cioè il controllo 3.3.2 stabilisce testualmente che il trasferimento fisico, la rimozione e la distruzione dei dispositivi atti alla memorizzazione di dati sono gestiti attraverso un processo formale.

Per fornire ulteriore evidenza della differenza tra i 2 quadri normativi/operativi, sembra sufficiente analizzare la misura posta alla lettera g) del 2° comma dell'art. 25 d.lgs. 51/2018, definita “controllo dell'introduzione”. Si tratta di una misura volta a garantire la possibilità di verificare e accertare a posteriori:

• quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato,
• il momento della loro introduzione e
• la persona che l'ha effettuata

Il corrispondente controllo posto dall'allegato B al dPCM 81/2021, il controllo 4.2, invece, meno analiticamente, stabilisce testualmente che i sistemi informativi e gli asset sono monitorati per indentificare eventi di cybersecurity e per verificare l'efficacia delle misure di protezione.

Conclusioni

In conclusione, l'analisi delle differenze nell'approccio alla sicurezza dei dati tra GDPR e LED rivela un suggestivo confronto tra due paradigmi normativi ed offre, contestualmente, un'ulteriore chiave di lettura della grande complessità che caratterizza l'ecosistema della protezione dei dati personali.

Il GDPR, con il suo approccio generale, chiede ai titolari del trattamento di essere architetti della propria sicurezza, scegliendo e implementando misure in linea con le caratteristiche della propria organizzazione. Dall'altra parte, la LED, attraverso il d.lgs. 51/2018, si presenta, alle autorità competenti chiamate ad applicarla, come una mappa dettagliata, indicando percorsi specifici da seguire per garantire la protezione dei dati.

In questo contesto, la sfida per le cc.dd. autorità competenti, che sono chiamate ad applicare entrambi i corpus normativi in ragione delle finalità che devono realizzare, risiede nell'equilibrare la capacità di ingegnerizzare i processi richiesta dal GDPR con la necessità di aderire alle prescrizioni più dettagliate della LED. Solo attraverso un'integrazione armoniosa di entrambi gli approcci, può essere predisposto un quadro di sicurezza dei dati completo e robusto, capace di adattarsi alle sfide in evoluzione del mondo digitale.