Security by design e mercato unico digitale


La recente intesa politica tra le istituzioni dell’Unione Europea circa il testo del nuovo Regolamento, noto come Cybersecurity Act, favorirà la realizzazione di un Mercato unico digitale, con l’introduzione di standard europei per la certificazione di prodotti e processi afferenti alla protezione del dominio cibernetico, secondo il paradigma, invero mutuato dal Regolamento (UE) 2016/679, della security by design.

Non vi è dubbio che in punto di progettazione dell’architettura della sicurezza, entrambe le normative regolamentari presentino un denominatore comune, che trae origine dalla esigenza di proteggere i dati “sensibili” che possono costituire anche patrimonio informativo delle aziende produttrici, nonché informazioni classificate degli operatori dei servizi essenziali o di fornitori di servizi digitali, intesi questi ultimi come infrastrutture critiche per la loro importanza strategica e, talvolta, per la sicurezza nazionale.

In questo scenario, anche il tema della privacy by design disciplinato dal GDPR, dovrà essere sempre più integrato nella nuova accezione di security by design, ed in quanto principio fondamentale di tutela, costituirà un requisito essenziale per i Titolari ed i Responsabili del trattamento, soprattutto, in materia di appalti pubblici.

D’altronde, il paragrafo 3 dell’art. 25 del GDPR, andava già in questa direzione, prevedendo un meccanismo di certificazione approvato ai sensi dell’articolo 42, come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2.

E’ bene a questo proposito ricordare che l’art. 25 del GDPR si rivolge al Titolare , sancendone l’obbligo, sia al momento di determinare i mezzi, che all’atto del trattamento stesso, di mettere in atto misure tecniche e organizzative adeguate (quali la pseudonimizzazione e la minimizzazione) volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie utili soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati. Il Titolare dovrà tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento.

E’ dunque importante, nell’accezione più ampia della security by design, operare una integrazione tra i due concetti, estendendo altresì analogicamente l’obbligo previsto dall’art. 25 del GDPR, nella sua fase “infrastrutturale” al Responsabile del trattamento.

Ed infatti, dal tenore letterale dell’art. 28 del GDPR si evince per il quest’ultimo l’enunciazione di un principio certamente coerente con la finalità della privacy by design, vale a dire il criterio di “individuazione”, determinato sulla base della circostanza che si presentino o meno garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in ordine alla tutela dei diritti degli interessati. Ne consegue che l’obbligo di privacy by design, nella cornice del più ampio e generale principio di accountability del Titolare del trattamento, non può certamente ritenersi avulso anche dalla sfera giuridica del Responsabile del trattamento.

In ragione della rinnovata condivisione di compiti e della nuova configurazione del mercato unico digitale voluta dall’UE, si gioca la partita tra committenti Titolari e fornitori/Responsabili di prodotti e servizi digitali, nella cornice di standards europei di certificazione di software e processi.
L’integrazione dei concetti di privacy by design e security by design rappresenta quindi l’evoluzione “infrastrutturale” by design dell’information security, consentendo la piena efficacia del principio di accountability nell’ambito di un sistema di garanzie, che aumenterà i livelli di fiducia degli utenti del mercato unico digitale.

Dunque, il Titolare del trattamento nell’adottare una privacy policy compliant rispetto al principio di privacy by design, potrà essere ritenuto efficacemente accountable, allorquando andrà a fruire di prodotti o servizi la cui progettazione sia by design certificabile e conforme a standards europei dettati dal Cybersecurity Act.

Nel nuovo scenario che verrà a configurarsi, pertanto, le garanzie sufficienti richieste dall’art. 28 del GDPR per l’individuazione del Responsabile del trattamento, discenderanno auspicabilmente da un sistema di certificazione europeo che garantirà la sicurezza by design di prodotti, servizi ed applicazioni, di guisa da assicurare al Titolare del trattamento, un livello certificato o certificabile di affidamento nella scelta e, dunque, la piena efficacia della sua accountability.

Non vi è dubbio che la sicurezza by design di prodotti e processi nel mercato unico digitale, cristallizzerà la responsabilità del produttore/Responsabile e, ciò, in stretta connessione, renderà certamente più agevole al Titolare del trattamento la dimostrazione dell’adeguatezza delle misure di sicurezza messe in campo, esattamente come previsto dall’art. 24 del GDPR.

Ecco che nella previsione dello standard di certificazione nel mercato unico digitale, trova applicazione anche il lungimirante contenuto del Considerando 78 nella parte in cui incoraggia i produttori a tener conto della protezione dei dati (ed oggi anche della security by design) al momento dello sviluppo e/o della progettazione di tali prodotti, servizi o applicazioni.

La piena attuazione del mercato unico digitale accrescerà, dunque, la fiducia dei cittadini e delle imprese nella società digitale e, permetterà di sviluppare ulteriore sicurezza nell’ambiente digitale, come logico presupposto per beneficiare in pieno dell’economia digitale europea.
Tale fiducia, in ambito privacy, si tradurrà in una certezza misurabile della disciplina contrattuale dei rapporti tra Titolare e Responsabile in ordine ai prodotti, servizi ed applicazioni forniti da quest’ultimo, la cui progettazione risulterà garantita da standard europei di certificazione da un lato opponibili dal Responsabile del trattamento ai sensi dell’articolo 28 del GDPR e, dall’altro, dimostrabili dal Titolare del trattamento, ai sensi dell’art. 25 del Regolamento.

Avv. Davide Maniscalco
Profilo Linkedin

0/Post a Comment/Comments

Nuova Vecchia