Cybersecurity e sicurezza informatica ai fini di sicurezza pubblica
Il termine cybersecurity rappresenta oggi un sottoinsieme del più ampio concetto di information security. Si può affermare che per cybersecurity si intende, infatti, quell’ambito dell’information security totalmente dipendente dalla tecnologia informatica, vale a dire un approccio mirato ad evidenziare non solo le misure di prevenzione, pur necessarie a ridurre la probabilità di accadimento di una minaccia, ma soprattutto misure di protezione capaci di ridurre la gravità del danno causato da una minaccia.
La premessa è che la sicurezza informatica e la protezione dei dati personali hanno acquisito un ruolo primario nell’ambito della società dell’informazione, ciò porta alla necessità di garantire la sicurezza del contesto digitale all’interno del quale tali dati vengono trattati[1].
Per sicurezza deve intendersi una situazione di affidabilità che induce un soggetto a sentirsi protetto rispetto all’ambiente esterno e al riparo da possibili situazioni di pericolo o di aggressioni che possano compromettere la sua sfera d’azione. C’è necessità, pertanto, di programmare e implementare strumenti sempre più evoluti, volti a proteggere i file e le informazioni personali raccolte nelle banche dati.
Il problema talvolta si sposta ad un concetto essenzialmente diverso, vale a dire quello della sicurezza pubblica o nazionale: questo può essere il caso della normativa con finalità di contrasto al terrorismo; e quindi un concetto di sicurezza[2] che significa una riduzione del livello di protezione della privacy e dei dati personali dei cittadini, assumendo una connotazione del tutto opposta a quella sopra citata.
In tal senso è opportuno sottolineare che l’esercizio dei diritti dell’interessato ex articoli da 15 a 22 del Regolamento UE 2016/679 (vale a dire, il diritto all’accesso, alla rettifica dei dati, alla cancellazione, alle limitazioni, all’opposizione e alla portabilità) subiscono una evidente battuta d’arresto laddove si debba mettere al riparo da pregiudizi un interesse superiore (come, ad esempio, la sicurezza nazionale o la riservatezza di un dipendente che denuncia un reato scoperto durante il lavoro).
Nel merito, il Dlgs. 101/2018 ha introdotto nel Codice della Privacy l’articolo 2-undecies che stabilisce specifiche limitazioni ai diritti dell’interessato, i quali non possono essere esercitati con richiesta al titolare o al responsabile del trattamento ovvero con reclamo, qualora, da tale esercizio, possa scaturire un pregiudizio concreto ad altri interessi normativamente tutelati.
Tale norma origina dall’esercizio della facoltà rimessa all’Italia dall’articolo 23, paragrafo 1, del Regolamento UE 2016/679, che disciplina le limitazioni all’esercizio dei diritti e delle libertà fondamentali degli interessati.
Il Regolamento, infatti, determina gli ambiti nei quali il diritto dell’Unione o quello degli Stati membri possono introdurre, sulla scorta di un giudizio di bilanciamento, misure legislative con cui limitare la portata degli obblighi e dei diritti riconosciuti agli interessati.
Tali limitazioni riguardano i seguenti casi: antiriciclaggio, sostegno alle vittime di atti estorsivi, attività delle Commissioni parlamentari d’inchiesta, controllo dei mercati finanziari e monetari, riservatezza del dipendente che segnala un illecito scoperto durante l’esecuzione dei suoi compiti e mansioni, esercizio di diritti in sede giudiziaria e per ragioni di giustizia.
In sostanza, i casi specificati dall’articolo 2-undecies sono, tout court, gli stessi di quelli descritti dall’articolo 8 del Codice previgente.
Ciò che viene eliminata è l’ipotesi di limitazione dei diritti con riferimento ai dati trattati da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un pregiudizio grave, effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 (articolo 8, comma 2, lettera f) del Codice previgente).
Il caso appena descritto è, oggi, disciplinato dall’art. 132, comma 3 del Codice della Privacy così come modificato dal Dlgs. 101/2018.
Da un punto di vista prettamente funzionale, nelle ipotesi di restrizione dei diritti dell’interessato, l’art. 2-undecies stabilisce che il ritardo, la limitazione o l’esclusione dell’esercizio di uno o più diritti attribuiti dal Regolamento sono disposti con comunicazione motivata e resa senza ritardo dal titolare e/o responsabile del trattamento, nella misura e per il tempo in cui ciò costituisca una misura necessaria e proporzionata alla tutela apprestata dal Codice.
Negli stessi casi, i diritti dell’interessato possono essere esercitati per il tramite del Garante con le modalità di cui all’articolo 160 del Codice.
In tal caso, il Garante informa l’interessato di aver eseguito tutte le verifiche necessarie o di aver svolto un riesame, rappresentandogli la possibilità di proporre ricorso giurisdizionale. Di tale possibilità anche il titolare deve renderne edotto l’interessato.
L’iniziativa di Garante Privacy e Intelligence a tutela dei cittadini
Crescente importanza hanno assunto gli studi dedicati all’impatto sulla società e sul tradizionale right to privacy delle nuove tecnologie applicate all’ambito delle intercettazioni telefoniche e telematiche, e, in modo particolare, nell’attività investigativa di intelligence. Vero è che, la possibilità di utilizzare sistemi di intercettazione telematica, da un lato, presenta notevoli vantaggi relativamente a efficacia ed efficienza, ma dall’altro, si presta a legittime critiche da parte di quanti segnalano l’eccessivo carattere intrusivo di questi strumenti e i possibili abusi che il loro utilizzo comporta.
Lo scorso 6 marzo è stato sottoscritto un nuovo Protocollo d’intenti sulla protezione dei dati personali nelle attività di sicurezza cibernetica. Il Presidente dell’Autorità Garante per la Protezione dei dati personali, Antonello Soro, e il Direttore Generale del Dipartimento delle informazioni per la sicurezza (DIS), Gennaro Vecchione, hanno firmato un documento che conferma e rilancia le linee d’intesa istituzionale già avviate nel 2013 e di seguito rinnovate nel 2017.
Il documento, revisionato per consentire l’adeguamento al nuovo Regolamento Europeo sulla protezione dei dati personali e al Decreto Legislativo 18 maggio 2018 n.51, c.d. direttiva “law enforcement”, ha confermato quanto già in essere circa la cornice di garanzie poste a presidio del trattamento dei dati personali effettuato dagli organismi di informazione per la sicurezza.
La nuova versione del Protocollo, che avrà durata biennale, si prefigge di elevare il livello di collaborazione istituzionale con concrete sinergie volte a far fronte comune alle complesse esigenze di sicurezza cibernetica nazionale. L’accordo prevede interlocuzioni privilegiate per la condivisione delle notifiche delle violazioni dei dati personali che ricadono nel Regolamento, a vantaggio del Nucleo Sicurezza Cibernetica, salvaguardando l’interesse primario di tutela dei diritti dei cittadini.
Il protocollo d’intenti tra Autorità Garante e Servizi segreti rappresenta senza dubbio una straordinaria opportunità per una migliore governance del digitale, rappresentando il necessario equilibrio tra libertà e sicurezza, fondamento primario di ogni democrazia[3].
Il fenomeno del whistleblowing
Le linee guida in materia di tutela del dipendente pubblico che segnala illeciti, c.d. whistleblower, adottate dall’Anac con determinazione n. 6/2015, assicurano una procedura che garantisce l’anonimato per tutti i segnalanti, apprestando tutela antidiscriminazione ed esimente per rivelazioni di dati coperti da particolari regimi di riservatezza.
Le procedure di whistleblowing assicurano a tutto il personale e a chiunque ne abbia bisogno un canale protetto per segnalare fatti di reato, illeciti o serie e gravi condotte contrarie alla legge che si siano verificate all’interno di un’organizzazione, sia essa pubblica o privata.
Durante questi procedimenti il trattamento di dati personali è indispensabile: in riferimento, ad esempio, alle informazioni relative a colo che sono sospettati di aver commesso un illecito (anche il semplice nome e cognome, che identificano il trasgressore) o i dati del segnalante stesso.
Secondo un approccio puramente comparatista, esaminando le normative adottate nei principali Paesi per assicurare la tutela dei dati personali, il relativo trattamento, la comunicazione e la diffusione, emerge un principio comune garantito dai vari legislatori nazionali: ogni persona è titolare del diritto di disporre dei dati che descrivono e che ne qualificano l’individualità. Un corollario di tale principio è costituito dal diritto di disporre ed esercitare un controllo sui dati nei confronti di chiunque, e pertanto anche nei confronti dell’autorità statale, impedendo che tali dati vengano utilizzati liberamente. Tuttavia, premesso che la posizione soggettiva in oggetto è un diritto disponibile, viene generalmente accolto il criterio per cui l’interessato con il suo consenso, e a determinate condizioni, può consentire che altri soggetti utilizzino i suoi dati personali per scopi specifici.
A ciò si contrappone l’articolo 2-undecies del Codice, o meglio la facoltà rimessa all’Italia dall’art. 23, paragrafo 1 del Regolamento UE 2016/679, vale a dire la possibilità che i diritti dell’interessato possano essere limitati nei casi di interesse superiore come la sicurezza nazionale o l’anonimato di un dipendente che denuncia un reato scoperto durante l’orario di lavoro.
Da tali premesse, il legislatore nazionale ha inserito nell’articolo 2-undecies, comma 1, del Codice, la lettera f) che limita l’esercizio dei diritti richiamati (in particolar modo, quello di accesso ai dati) nel caso debba esser tutelata la riservatezza e l’identità del dipendente che, durante lo svolgimento del proprio lavoro, segnala condotte illecite di cui è venuto a conoscenza in ragione di tale rapporto.
L’adeguamento dell’Italia relativamente a tale normativa, fa seguito all’emanazione della legge 30 novembre 2017, n.179, il cui articolo 1 riformula l’art. 54-bis del Testo unico del Pubblico impiego.
La legge 179/2017 consente all’Autorità Nazionale Anticorruzione (“Anac”) di adottare apposite linee guida per la procedura di presentazione e gestione delle segnalazioni di illeciti, dirette a preservare, previo parere conforme del Garante, la riservatezza e l’identità del denunciante.
Pertanto, i titolari, pubblici o privati, per valutare se le proprie procedure di whistleblowing siano conformi al Regolamento, dovranno:
- Istituire dei canali di reporting interno/esterno dei fatti illeciti e adottare regole specifiche che delineino in modo chiaro le finalità di trattamento;
- Assicurare la riservatezza delle informazioni ricevute e proteggere l’identità del denunciante e di tutte le persone che prendono parte alla procedura;
- Applicare il principio di minimizzazione dei dati: vale a dire che si possono trattare solo le informazioni che sono adeguare, rilevanti e necessarie ai fini del caso esaminato;
- Identificare le informazioni rilevanti ai fini dell’indagine e quali sono i dati che afferiscono direttamente al caso, in modo tale da consentire l’applicazione dei limiti previsti dall’articolo 2-undecies del Codice;
- Informare ogni categoria di persone interessate circa la modalità di trattamento dei loro dati;
- Assicurare che, in caso di istanza di accesso ai dati, vengano rese accessibili solo le informazioni necessarie e non pregiudizievoli;
- Consentire l’accesso ai dati solamente ai destinatari interni e/o esterni correttamente individuati e limitare il trasferimento delle informazioni quando ciò è necessario;
- Stabilire il periodo di conservazione dei dati appropriati e proporzionati ai fini della procedura[4];
- Adottare misure organizzative tecniche appropriate basate su analisi risk based.
In conclusione, la dottrina, finora, ha proposta una lettura riduttiva delle disposizioni fin qui analizzate, da parte di alcuni è stato sostenuto di voler a tutti i costi imporre una prescrizione eccessiva e certamente finalizzata a disciplinare in via preventiva l’utilizzazione di risorse informative da parte di soggetti pubblici e privati, con evidenti problemi di incostituzionalità in rapporto alla libertà individuale e d’impresa. In verità, è corretto affermare, che tale disciplina normativa trova la sua ragione d’essere nel fatto che alcuni rischi per la sicurezza di un sistema informativo possono essere evitati solo se a monte, a momento della programmazione della struttura informatica, privacy by design, ci si pone il problema di implementare le previsioni normative sulla protezione dei dati personali.
Bibliografia
BOLOGNINI L., PELINO E., BISTOLFI C., Il Regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali, 2016.
BUTTARELLI G., Banche dati e tutela della riservatezza. La privacy nella società dell’informatica, Milano, 1997.
CORASANTI G., Esperienze giuridiche e sicurezza informatica, Giuffrè, Milano, 2003.
MAGLIO M., Manuale di diritto alla protezione dei dati personali, 2017.
PASCUZZI G., Il diritto dell’era digitale, Il Mulino, Bologna 2013.
PIZZETTI F., Privacy e il diritto europeo alla protezione dei dati personali, 2016.
[1] N. NEGROPONTE, Essere digitali, Sperling & Kupfer, Milano 1995.
[2] Complementare al tema della sicurezza è il concetto di rischio, analizzato, però, non come condizione individuale ma come un possibile scenario di interesse globale.
[3] A. DE PRETIS, L’approccio Giurisprudenziale alla tutela della privacy informatica: capacità innovativa e tradizione costituzionalistica, in Diritto, informazione e informatica, 2008
[4] F. BIGNAMI, Protecting Privacy against the Police in the European Union: The Data Retention Directive, in Chicago Journal of Internationl Law, 2007
