Cosimo Comella: “Il GDPR amplia il concetto di sicurezza”. Il ruolo dell’Autorità Garante

Elemento sempre più rilevante nell’ambito di aziende pubbliche e private,  soprattutto a seguito della maggior interconnessione dei sistemi ed il considerevole incremento dei servizi offerti attraverso la rete Internet, la sicurezza informatica rappresenta una delle principali sfide, forse la più critica, poste dal Nuovo Regolamento Europeo sulla tutela dei dati. 

Lo scenario di partenza, infatti, non è dei più rosei. Il Rapporto Clusit 2017 indica il 2016 come l’anno peggiore di sempre in termini di evoluzione delle minacce cyber e la tendenza non sembra migliorare.  Con l’entrata in vigore del Regolamento come cambia l’approccio alla sicurezza, alla sua definzione e gestione? Quali i protagonisti che andranno ad organizzare la sicurezza del trattamento dei dati e quale il ruolo che andrà sempre più ad assumere l’Autorità Garante per Protezione dei dati personali.

Ne abbiamo parlato con Cosimo Comella, Dirigente del Dipartimento Tecnologie digitali e Sicurezza informatica del Garante per la Protezione dei dati personali, già Direttore del Centro di calcolo e documentazione d’ateneo dell’Università degli Studi di Roma “Tor Vergata” e docente di Informatica giuridica presso la Luiss Guido Carli, che ha tratteggiato un quadro della situazione.

Dottor Comella, come cambia l’organizzazione e la gestione della sicurezza informatica alla luce del nuovo regolamento Europeo sulla tutela dei dati (GDPR). Quali approcci, metodologie, strumenti.

Il Regolamento si pone, dal punto di vista delle misure di sicurezza, in continuità con la disciplina precedente, basata sulla Direttiva 95/46/CE e sul Codice italiano.

Basta leggere l’articolo 17 della vecchia direttiva, o l’articolo 31 del Codice, per ritrovare sostanzialmente gran parte delle disposizioni, di carattere generale, dell’attuale articolo 32 del Regolamento: che appare sì arricchito di una elencazione, di valore esemplificativo, di alcune misure che possono, “tra le altre, se del caso”, integrare o rappresentare in sé le misure adeguate a “garantire un livello di sicurezza adeguato al rischio”, ma che andrebbe letto valorizzandone, con costante riferimento a quella accountability posta alla base della protezione dei dati personali, gli aspetti di idoneità e di efficacia delle misure di sicurezza rispetto ai rischi incombenti sui dati e sugli interessati cui gli stessi dati si riferiscono.

A mio avviso, la nuova formulazione rende il valore della sicurezza ben più ampio rispetto alla mera protezione informatica del dato, che ne è pure una componente essenziale. Occorre quindi porsi come obiettivo la protezione complessiva del trattamento.

Una grande novità rispetto alla disciplina nazionale è invece il venir meno degli obblighi in tema di misure minime di sicurezza, che pure costituirono, a partire dal 2004, un forte sprone all’aggiornamento tecnologico dei sistemi informativi, anche a causa delle connesse sanzioni penali.

La nuova disciplina a mio avviso favorirà un approccio più meditato ed efficace rispetto alla protezione dei trattamenti anche nella sua dimensione tecnologica, evitando la corsa a una compliance meramente formale e minimale, perché volta primariamente a escludere la temuta responsabilità penale, trascurando invece la predisposizione di misure realmente adeguate al contesto del trattamento.

Data Breach e GDPR. In cosa consistono le violazioni e quali sono i compiti del titolare del trattamento nel caso si verifichino.

La definizione di “violazione” contenuta nell’articolo 4 del GDPR (“Violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.”) pone l’accento sugli aspetti di sicurezza che, in misura significativa, sono connessi alla dimensione tecnologica dei trattamenti informatizzati.

Il novero delle possibili violazioni è tuttavia più ampio rispetto al perimetro dei security incident trattati, per esempio, da strutture dedicate come i CERT o gli CSIRT, andando appunto oltre la dimensione strettamente informatica.

I compiti del titolare in proposito sono sanciti dagli artt. 33-34 del Regolamento, e comprendono l’obbligo di comunicare l’avvenuta violazione al Garante e, qualora ne ricorrano i presupposti o su richiesta dello stesso Garante, di avvisare gli interessati della possibile o accertata compromissione dei loro dati personali.

Quale ruolo l’Autorità Garante andrà a svolgere ora che è pienamente operativo il Regolamento Europeo?

L’Autorità vede già crescere significativamente il volume di attività, soprattutto in questa fase transitoria di avvio della nuova disciplina cui il Paese, nonostante il biennio di “preavviso”, ha rischiato di arrivare fortemente impreparato, sia in ambito privato sia in ambito pubblico. In particolare, la trattazione dei data breach assorbe quasi completamente le risorse volte all’analisi tecnica e all’expertise interna, e il carico di lavoro derivante da questa attività è in forte crescita.

Tra le tante novità che investono il modo di operare dell’Autorità, si può evidenziare il particolare ruolo che essa dovrà svolgere in relazione al sistema di accreditamento e di certificazione delineato dagli artt. 42-43 del GDPR, nonché rispetto ai codici di condotta previsti dagli artt. 40-41.

Rispetto all’esercizio dei poteri assegnati nei confronti dei titolari di trattamento, in presenza di situazioni di parziale compliance ai requisiti del Regolamento il Garante disporrà di una serie di strumenti, anche intermedi rispetto a quelle tipicamente sanzionatorie o prescrittive, che consentiranno di modulare l’esercizio delle proprie funzioni di Autorità, assegnate dal Regolamento, in maniera più proporzionata all’entità delle violazioni o delle non conformità rilevate.

Strumenti quali gli avvertimenti, gli ammonimenti, le ingiunzioni, previsti dall’art. 58 del Regolamento, unitamente al potere sanzionatorio già presente nell’ordinamento e ulteriormente valorizzato dal GDPR, consentiranno di graduare le misure che l’Autorità dovrà porre in essere per garantire la conformità dei trattamenti ai principi generali e alle altre disposizioni del  Regolamento.