CAPITOLO 1
LA REGOLAMENTAZIONE
Il sempre più rapido sviluppo tecnologico e, conseguentemente, la rapida e
costante evoluzione delle tecnologie informatiche, rendono sempre più difficile la
possibilità di prevedere con esattezza quali saranno le minacce future per le imprese;
questo contesto ha quindi portato sia la realtà europea che, più in grande, la realtà
mondiale, ad elaborare delle nuove soluzioni normative unificanti, con l’obiettivo di
stabilire requisiti sempre più stringenti circa la protezione dei dati.
Queste nuove soluzioni hanno lo scopo di creare, da una parte, un sistema di
gestione del rischio informatico basato sulla valutazione dello stesso e, dall’altra, un
rafforzamento del processo di gestione e di notifica sia nel caso in cui si verifichi una
violazione della sicurezza dei dati personali, sia nel caso in cui si verifichi un incidente
con un impatto significativo sulla continuità dei servizi essenziali.
Tuttavia, la consapevolezza del rischio cibernetico è di gran lunga più alta negli
Stati Uniti, dove le severe norme sulla protezione dei dati impongono alle aziende
l’obbligo di notifica in caso di violazione. Al di fuori degli USA, attualmente, i regimi
di protezione dei dati differiscono da stato a stato anche se, come detto, si sta
verificando una tendenza generale verso regole più rigide e comuni a livello mondiale.
Nell’ambito della sicurezza informatica, la Commissione Europea ha stabilito tre
obiettivi chiave. Il primo obiettivo consiste nel portare la capacità di sicurezza
informatica allo stesso livello di sviluppo in tutti gli Stati Membri ed assicurare che
scambi di informazioni e cooperazione siano efficienti non solo a livello europeo ma
anche extra-europeo. In questo ambito rientra la Direttiva NIS (Network and
Information Security), presentata nel dettaglio nei prossimi paragrafi, che diventa lo
strumento principale per il supporto della cyber resilience europea, ossia per il supporto
alla analisi della capacità di resistenza e proattività ai cambiamenti e alle minacce cyber.
Il secondo obiettivo è quello di rendere l’Europa più sensibile riguardo la cyber
security in modo tale che possa affermarsi come leader nel campo della sicurezza
informatica.
Il terzo e ultimo obiettivo è quello di inserire la sicurezza informatica al centro
delle principali regolamentazioni europee, riservandole un posto anche nelle future
�11
iniziative europee riguardanti le nuove tecnologie e i settori emergenti come quello delle
connected insurance (assicurazioni connesse ad Internet) e dell’Internet of Things (IoT).
Tutti i dati che vengono sotto riportati sono presi da “A Guide to Cyber Risk” di
Allianz Global Corporate & Speciality del 2015.
1.1 La regolamentazione cyber nel mondo
1.1.1 Stati Uniti d’America
Negli Stati Uniti d’America non esiste una legge federale unica che disciplini la
notificazione della violazione dei dati, nonostante ci sia una crescita a livello globale del
rischio di data breach. A livello statale, tutti gli Stati degli USA, ad eccezione di
Alabama, Nuovo Messico e Sud Dakota, hanno imposto requisiti di notifica, anche se in
qualche caso non sono coerenti tra di loro; esistono infatti requisiti di notifica specifici
per le violazioni solamente in settori particolari, come il settore sanitario (HIPAA -
HITECH), l’entità finanziaria (GLBA) e l’istruzione (FERPA).
1.1.2 Medio Oriente e Nord Africa
La regione del Medio Oriente e del Nord Africa comprende diversi Paesi che
presentano sistemi giuridici distinti e separati. Vi è una maggiore attenzione alla
responsabilità informatica in tutto il Medio Oriente, dove diversi paesi hanno
recentemente promulgato o proposto una nuova legislazione in materia. In particolare
negli United Arab Emirates (UAE), nel 2012 è stata approvata la legislazione
cibernetica, che ha introdotto una serie di nuovi reati; tuttavia la mancanza di precedenti
rende ancora incerta la sua applicazione.
1.1.3 Europa
Attualmente i regimi di protezione dei dati all'interno dell’Unione Europea
variano, dal momento che la vigente legislazione che regola l'elaborazione dei dati
personali all'interno dell'Unione (direttiva 95/46 / CE) lascia agli Stati membri libertà di
�12
stabilire le proprie leggi a condizione che tale direttiva venga rispettata. Tuttavia c’è
l’intenzione di armonizzare i regimi di protezione dei dati all’interno dell’UE: ciò
avverrà attraverso la sostituzione si questa direttiva con il Regolamento Generale sulla
Protezione dei Dati (GDPR).
I tre sviluppi chiave della disciplina sono:
• notifica: se si verifica una violazione dei dati personali e vi è un "alto rischio" per i
diritti e la libertà delle persone, il responsabile del trattamento dei dati deve informare
la propria autorità di vigilanza e le persone interessate senza indugio;
• one-stop-shop: qualsiasi azienda operante in più stati membri dell'UE sarà soggetta ad
un'unica autorità di vigilanza nello stato membro in cui si trova lo stabilimento
principale;
• sanzioni: le violazioni più gravi comportano multe fino a 1 milione di euro (1,1
milioni di dollari) o il 2% del fatturato annuale mondiale.
1.1.4 Australia
In Australia non è ancora presente una disciplina sul trattamento degli attacchi
informatici, ma una serie di violazioni informatiche di alto profilo, collegate ad un
aumento stimato di circa il 20% degli attacchi informatici alle imprese nel 2014, hanno
portato il Commissario australiano per la privacy e le altre autorità di regolamentazione,
tra cui l'Australian Prudential Regulation Authority (APRA) e la Australian Securities
and Investments Commission (ASIC), a focalizzare i loro interventi sulla
regolamentazione delle informazioni personali e sulla sicurezza delle piattaforme di
business online.
1.1.5 Singapore
La prima normativa specifica sulla privacy a Singapore è stata introdotta nel
2014 ed è la legge sulla protezione dei dati personali (The Personal Data Protection Act
- PDPA) che mira a fornire trasparenza in relazione all'uso dei dati personali individuali;
questa legge introduce multe per la violazione dei dati personali per un importo fino a $
1 milione.
�13
1.2 La normativa italiana
Per quanto riguarda le persone fisiche, il Decreto Legislativo 196 del 30 Giugno
2003, anche chiamato Codice in materia di protezione dei dati personali (Codice
Privacy), contiene l’attuale normativa vigente nel territorio italiano in materia di
privacy. Questa normativa, entrata in vigore nel Gennaio del 2004, sostituisce tutta la
precedente disciplina e si pone come attuazione interna delle regole ad oggi vigenti in
ambito europeo, tra cui la direttiva quadro in materia di privacy n. 46/95 e la successiva
direttiva n. 50/2002 in materia di comunicazioni elettroniche.
Il D.Lgs. 196/2003 porta con se la definizione di importanti principi generali che
regolano l’intera materia della privacy; in particolare, il primo articolo del codice
introduce un nuovo specifico diritto riconosciuto a ciascun individuo, ossia il diritto alla
protezione dei dati personali. Nello specifico, l’oggetto della disciplina contenuta nel
Codice Privacy è il trattamento dei dati personali effettuato nel territorio italiano; per
trattamento si intende qualsiasi operazione realizzata con strumenti elettronici, o anche
senza, relativa ad un insieme di informazioni. Esempi di operazioni classificabili come
trattamento sono: la raccolta, la registrazione, la conservazione, la consultazione nonché
la cancellazione di informazioni classificate come personali. Tutti i trattamenti di dati
personali devono in ogni caso avvenire in modo lecito e secondo correttezza, vale a dire
nel rispetto di tutte le norme presenti nel nostro ordinamento giuridico (Codice Civile),
rispettando anche i principi generali contenuti nel Codice Privacy.
Inoltre, il trattamento dei dati deve anche rispettare il principio della trasparenza:
deve quindi tenere in considerazione una regola generale anche in materia di
conservazione di tali informazioni. I dati devono essere infatti conservati in una forma
che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a
quello necessario, ossia fino a quando non è stato conseguito lo scopo per cui i dati
stessi sono stati raccolti.
In questo Codice si stabilisce che un dato può dirsi personale quando consiste in
una informazione associabile in modo diretto o indiretto ad una determinata persona
fisica; al contrario, i dati relativi alle persone giuridiche, ad enti e associazioni, non
rientrano in tale ambito in quanto si tratta di soggetti non tutelati dalla normativa
privacy. Il dato personale è dunque definito come qualunque informazione relativa ad
�14
una persona fisica identificata o identificabile, anche indirettamente, mediante
riferimento a qualsiasi altra informazione.
É possibile individuare tre tipologie di dato:
1. dati sensibili, ossia i dati personali idonei a rivelare informazioni quali l’etnia, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione
a partiti, sindacati, associazione o organizzazioni, lo stato di salute e la vita sessuale
di un individuo;
2. dati personali: identificano le informazioni relative alla persona fisica mediante
riferimento a qualsiasi altro dato, compreso un numero di riconoscimento personale;
3. dati comuni: come ad esempio i dati giudiziari.
Il Codice individua, per ciascuna delle diverse categorie di dato, delle regole ben
precise che indicano in quale modo queste informazioni possono essere impiegate.
Al fine di garantire il rispetto e il corretto adempimento degli obblighi imposti
dalla legge sul trattamento dei dati personali, è stata creata una apposita autorità
pubblica indipendente, l’Autorità Garante Privacy; questo è un organo collegiale di tipo
amministrativo di natura indipendente che può esercitare diversi poteri, tra i quali la
possibilità di fornire pareri interpretativi sulla normativa privacy al Governo e al
Parlamento.
Il Codice Privacy definisce quindi obblighi e poteri e regola i rapporti tra i vari
soggetti coinvolti nel trattamento dei dati personali.
1.2.1 Regolamento GDPR (General Data Protection Regulation): Regolamento UE
2016/679
Il General Data Protection Regulation (GDPR), pubblicato nella Gazzetta
Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio 2016, ha iniziato
ad avere efficacia solo a partire dal 25 maggio 2018. A partire da tale data, il GDPR ha
sostituito la direttiva sulla protezione dei dati istituita nel 1995 (Direttiva 95/46/CE) e
ha abrogato le norme del Codice per la protezione dei dati personali (Decreto
Legislativo n. 196/2003).
Il GDPR è un regolamento che ha lo scopo di rafforzare e rendere omogenea la
protezione dei dati personali di cittadini e residenti nell’Unione Europea, sia all’interno
che all’esterno dell’Unione. Le caratteristiche del regolamento, infatti, ne consentono
�15
l’applicazione diretta in tutti gli stati membri dell’Unione rendendo possibile la
creazione di un regime unico di data protection comune a tutto il territorio europeo.
Lo scopo principale del legislatore europeo è stato quello di creare delle regole
unitarie e business friendly, nonché quello di proteggere i diritti e le libertà
fondamentali degli individui con riguardo al trattamento dei loro dati personali.
Il GDPR, infatti, introduce maggiori tutele a favore degli individui i cui dati
vengono trattati, ma anche maggiori responsabilità a carico di chi li tratta.
Il presente regolamento sarà anche affiancato dalla direttiva UE 2016/680, con la
quale si applica una disciplina speciale e in parte derogatrice per il trattamento dei dati
da parte dell’Autorità Giudiziaria e di tutte le forze di polizia.
Il GDPR si applica non solo ai dati dei residenti nell’Unione Europea ma anche
ad enti, imprese e organizzazioni in generale con sede legale fuori dall’UE che trattano i
dati personali dei residenti dell’Unione; la disciplina dei dati personali, quindi, risulta
ora sostanzialmente armonizzata a livello europeo.
La sempre maggior velocità dell’evoluzione della tecnologia e della
globalizzazione comporta nuove minacce per la protezione dei dati personali. Da qui
nasce l’esigenza di creare un quadro più solido e coerente in questa materia; è
importante sia accrescere la consapevolezza delle persone fisiche dei propri dati
personali sia rafforzare la certezza giuridica e operativa, per le persone fisiche e per gli
operatori economici e le autorità pubbliche.
Il presente regolamento ha tre finalità principali (articolo 1 Regolamento UE
2016/679):
1. stabilire le norme relative alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali e alla libera circolazione di dati;
2. proteggere i diritti e le libertà delle persone fisiche, in particolar modo difende il
diritto alla protezione dei dati personali;
3. consentire la libera circolazione dei dati personali dell’Unione, senza alcuna
limitazione o divieto per motivi attinenti alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali.
La protezione delle persone fisiche, per quanto riguarda il trattamento dei loro
dati personali, è un carattere fondamentale: sia l’articolo 8 della Carta dei Diritti
Fondamentali dell’Unione Europea che l’articolo 1 del Trattamento sul Funzionamento
�16
dell’Unione Europea (TFUE), stabiliscono infatti che “ogni persona ha diritto alla
protezione dei dati di carattere personale che la riguardano”.
L’obiettivo della direttiva 94/46/CE del Parlamento Europeo e del Consiglio era
quello di armonizzare la tutela dei diritti e delle libertà fondamentali delle persone in
relazione alle attività di trattamento dei dati e assicurare la libera circolazione dei dati
personali tra gli Stati Membri dell’Unione Europea; proprio in questo contesto, il diritto
dell’Unione stabilisce che le autorità nazionali degli Stati Membri devono cooperare tra
di loro e altresì scambiarsi dati personali in modo da essere in grado di svolgere le
rispettive funzioni o compiti per conto di una autorità di un altro Stato Membro.
Il GDPR stabilisce che i dati personali non solo devono essere trattati in modo
lecito, corretto e trasparente nei confronti dell’interessato, ma devono anche essere
raccolti con delle finalità necessariamente esplicite e in qualche modo determinate.
I nuovi principi introdotti dal presente regolamento sono:
1. accountability (responsabilizzazione): i titolari dei trattamenti dovranno sempre
dimostrare il rispetto delle regole e dei principi applicati al trattamento dei dati: In
quest’ottica, le imprese dovranno svolgere una valutazione d’impatto sul
trattamento dei dati personali (Data Protection Impact Assessment) qualora questo
fosse troppo rischioso per i diritti degli interessati. Con questa valutazione il titolare
del trattamento, in un’ottica prudenziale, ne valuta la necessità e la proporzionalità
al fine di facilitare la gestione e la minimizzazione dei rischi;
2. trasparenza: ogni informazione e comunicazione relativa al trattamento dei dati
personali deve essere facilmente accessibile, comprensibile e chiara.
Il nuovo Regolamento europeo prevede, inoltre, il diritto alla portabilità, che si
riferisce a quei dati che sono generati dagli interessati tramite l'utilizzo dei dispositivi
connessi (raw data) e rinforza il diritto alla cancellazione, il cosiddetto diritto
all’oblio, ossia una particolare forma di garanzia che prevede la non divulgabilità di
precedenti pregiudizievoli dell’onore di una persona.
Un’altra novità introdotta con il GDPR consiste nella maggiore tutela in caso di
trasferimento dei dati personali al di fuori dell'Unione Europea per garantire che, anche
dove non è applicabile il regolamento, i dati personali siano adeguatamente tutelati.
Il Regolamento introduce, tra l'altro, la figura del Data Protection Officer (DPO
- Responsabile per la protezione del dati personali) il cui ruolo principale è quello di
�17
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
