il rapporto tra cybersecurity e accountability non è sempre del tutto lineare e a questo proposito si può riflettere sul fatto che le minacce cui il titolare del trattamento deve guardare in ottica protezione dati non sono solo quelle di carattere informatico.
È noto che è intorno al concetto di accountability (o “responsabilizzazione”) che ruota il sistema giuridico disegnato dal Regolamento Generale sulla Protezione dei Dati Personali (GDPR): se il termine inglese prima richiamato si collega al “dare conto” (to account for) da parte del titolare del trattamento delle misure tecniche e organizzative adottate per adeguare i trattamenti alla normativa regolamentare (si veda l’art. 5 par. 2, GDPR), il suo corrispettivo italiano richiama il fatto che il titolare è chiamato ad assumersi la responsabilità di scelte che consentano la conformità al GDPR (si veda, fin dalla rubrica, l’art. 24 del Regolamento), compiendo dette scelte in prima persona, non potendo più contare su disposizioni normative puntuali né – salvo casi residuali – su indicazioni preventive delle Autorità di controllo.
Anche così, tuttavia, il Regolamento europeo non lascia del tutto soli i titolari nel fare le loro scelte, offrendo loro, al fine di valutare le caratteristiche di un trattamento e affrontarlo così con le giuste misure tecniche e organizzative, dei parametri generali – natura, ambito, contesto e finalità del trattamento– che spetta poi ai titolari calare nella concreta realtà della loro organizzazione. Tra questi parametri assume particolare rilievo il rischio che il trattamento pone per i diritti e le libertà delle persone fisiche, ed è la centralità della valutazione del rischio che avvicina l’approccio responsabilizzante richiesto dal GDPR alla cybersecurity, da intendersi come la protezione di reti, applicazioni e dati (non solo personali) da attacchi informatici. Questi ultimi possono essere paragonati, con l’omonimo libro di Dan Verton, al “ghiaccio sporco” (black ice)[1], con cui le minacce informatiche condividono il carattere di pericolo poco visibile ma imminente, dovendo perciò essere previste e prevenute più ancora che gestite una volta concretizzatesi, secondo una logica definibile di security by design che richiama da vicino la privacy by design, di cui all’art. 25, par. 1 del GDPR, che è tra le principali declinazioni della accountability e che ugualmente chiede al titolare del trattamento uno sforzo previsionale e preventivo nell’adottare misure tecniche e organizzative di protezione dati.
Di più, la cybersecurity entra come componente importante in un altro degli ambiti in cui si chiede al titolare di esercitare la sua “nuova” responsabilità, ovvero l’adozione di misure di sicurezza dei dati personali adeguate al rischio posto dal trattamento. Quanto appena detto è dimostrato da vari elementi, a cominciare dal fatto che le misure di cybersecurity, contribuendo a ridurre le probabilità di breach informatici lato sensu, prevengono anche i più specifici personal data breach di cui agli articoli 33 e 34 del GDPR, e, in effetti, tra le misure proposte a mo’ di esempio dal Regolamento per garantire la sicurezza del trattamento, alcune riguardano i sistemi informatici nella loro concretezza fisico – tecnica (art. 32, par. 1, lett. b) e c), dove, a titolo esemplificativo, si invitano titolari e responsabili del trattamento a porre in essere misure atte a garantire, rispettivamente, «la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento» e «la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico»); in secondo luogo, nella metodologia risk – based elaborata dall’ENISA – Agenzia dell’Unione Europea per la Sicurezza Cibernetica) – a partire dal 2016, specie nella parte in cui si tratta di stimare l’influenza del cd. “processing environment”[2] sulla probabilità del verificarsi di conseguenze negative per gli interessati in seguito ad una violazione dei dati, circa la metà delle domande di autovalutazione lì previste per il titolare del trattamento riguarda aspetti legati alla sicurezza dei sistemi informatici, compreso il peso da dare, quale mezzo di prevenzione di incidenti, al fattore umano e alla corretta interazione del personale con i dispostivi tecnici con cui è effettuato il trattamento.
In ogni caso, non va mai dimenticato che il rapporto tra cybersecurity e accountability non è sempre del tutto lineare e a questo proposito si può riflettere sul fatto che le minacce cui il titolare del trattamento deve guardare in ottica protezione dati non sono solo quelle di carattere informatico, ma, con sguardo più ampio, quelle per «i diritti e le libertà delle persone fisiche» cui spesso lo stesso Regolamento fa riferimento; un’attenzione esclusiva al rischio cibernetico – o comunque al rischio cibernetico considerato come avulso dai suoi possibili impatti sulle persone fisiche e le loro libertà – può al contrario inficiare la bontà di un approccio che pure si vorrebbe accountable ai sensi del GDPR, come quando si ricorre a quello strumento pure espressivo della responsabilizzazione dei titolari che è la valutazione d’impatto ex art. 35 del Regolamento: si veda ad esempio il provvedimento con cui il Garante italiano ha censurato una valutazione d’impatto effettuata dall’Agenzia delle entrate, nella misura in cui in essa, focalizzandosi su aspetti meramente tecnici del trattamento, si era prodotto «prevalentemente, se non esclusivamente, un documento di valutazione del rischio informatico incombente sui dati […] carente nella parte riferita agli impatti sui diritti e sulle libertà degli interessati […] anche laddove non siano riferibili alla fattispecie degli incidenti informatici»[3].
Articolo di Enrico Grenga
[1] Si veda D. Verton, Ghiaccio sporco. La minaccia invisibile del cyberterrorismo, Milano, McGraw – Hill, 2003.
[2] Si vedano le Guidelines for SMEs on the security of personal data processing del dicembre 2016, liberamente scaricabili al seguente link: https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-data-processing. Per la sezione relativa al processing enviromnent e alla sua influenza sul verificarsi di violazioni di dati, si vedano in particolare le pp. 24 – 31 del citato documento.
[3]Il riferimento è al Provvedimento in tema di fatturazione elettronica del 20 dicembre 2018, disponibile su www.garanteprivacy.it [doc. web n. 9069072].