Con lo sviluppo dell’information technology che presuppone l’uso ed il trattamento di una quantità innumerevole di dati, tra i quali rientrano anche quelli personali, vi è un cambiamento radicale nella stessa concezione del diritto alla riservatezza che passa da un livello fisico-corporeo ad una dimensione astratta-digitale. Ebbene, il mondo digitale, nonché le informazioni e i dati che ne sono parte, seppur nella loro astrattezza appaiano “intangibili” e dunque protetti da attacchi esterni, in realtà, sono soggetti a numerose minacce risultanti dall’evoluzione della tecnologia stessa.
Si pensi agli attuali attacchi hacker perpetrati nei confronti delle infrastrutture IT da attori di matrice russa: si tratta di veri e propri attacchi di cyber-sicurezza volti a minare la solidità, la sicurezza ed il corretto andamento di enti e pubbliche amministrazioni nazionali. Una guerra digitale, il cui scopo principale è di intaccare almeno la disponibilità, l’integrità e la confidenzialità, se non l’utilizzabilità stessa delle informazioni e dei dati ivi contenuti. Appare da subito evidente l’alto rischio a cui siamo esposti: ad essere colpiti sono i cd. “operatori di servizi essenziali”, ovvero gli enti che offrono servizi di primaria necessità per la comunità (si pensi all’ambito sanitario e, da ultimo, ad altri importanti enti come il Csm, i Ministeri degli Esteri, dell’Istruzione e dei Beni Culturali). Inoltre, anche importanti realtà di aziende private hanno subito le stesse attenzioni da parte degli hacker.
Tuttavia, già nel 2016, la normativa europea in materia di privacy è intervenuta andando a “responsabilizzare” gli enti (principio di accountability), chiedendo loro di adottare misure tecniche e organizzative capaci di garantire la sicurezza dei dati personali.
Alla luce di quanto sopra, è richiesto pertanto il massimo impegno da parte degli enti titolari del trattamento di dati personali, i quali sono chiamati – in base al principio di accountability nonché nell’ottica di una compliance integrata – ad adottare le misure necessarie al fine di minimizzare i rischi a cui sono esposti i dati personali dei cittadini. Tra le misure tecniche ed organizzative rientrano, pertanto, anche le misure di mitigazione nonché le azioni di risoluzione delle vulnerabilità informatiche individuate dal Computer Security Incident Response Team – Italia (Csirt) al fine di garantire la sicurezza cibernetica delle infrastrutture, in quanto elemento indispensabile per tutelare i dati personali alla luce del Regolamento Ue 2016/679 (Gdpr).
Questo contributo è a cura dell’avv. Giuseppe M. Cannella, socio fondatore di Lcg – Lecis Cannella Grassi Studio Legale Associato, e della dott.ssa Elisabetta Zicarelli, collaboratrice di Lcg – Lecis Cannella Grassi Studio Legale Associato