Unione Europea
Privacy e sicurezza dei dati non sono in conflitto: senza la sicurezza delle reti, la tutela della vita privata e dei dati personali non sarebbe possibile e, soprattutto, disporre di infrastrutture di comunicazione in grado di resistere eventuali violazioni, è la base di una “società flessibile”, in cui ognuno accetta la propria parte di responsabilità.
Le sfide relative alla sicurezza dei dati personali, infatti, “dovrebbero essere viste nel più ampio contesto della capacità di resistenza delle infrastrutture di comunicazione e informazione”.
Lo ha dichiarato il Commissario Ue ai media e alla società dell’informazione, Viviane Reding, nel suo discorso al seminario “Rispondere alle violazioni dei dati”, organizzato dal Garante europeo per la protezione dei dati (GEPD), in collaborazione con ENISA, l’agenzia Ue che si occupa della sicurezza delle informazioni e delle reti.
La Reding ha quindi sottolineato che uno dei principi fondamentali della normativa Ue sulla protezione dei dati è che “coloro che trattano informazioni personali devono adottare le misure di sicurezza necessarie per contrastare i rischi per i dati”.
La riforma del pacchetto telecom, ha aggiunto la Reding, ha posto la questione della notifica obbligatoria delle violazioni dei dati personali in cima all’agenda politica europea e stabilirà norme chiare e stringenti relative alla prevenzione, alla gestione e alla comunicazione delle violazioni dei dati nel settore delle comunicazioni elettroniche.
Con la riforma delle telecomunicazioni, in sostanza, quando si verificherà una violazione della sicurezza, l’operatore dovrà informare autorità e cittadini della possibilità di trovarsi di fronte a un danno causato della perdita dei loro dati personali.
Gli operatori di rete dovranno inoltre informare le competenti autorità nazionali di regolamentazione dei casi di violazione o perdita di integrità che abbiano avuto un impatto significativo sul funzionamento delle reti o servizi.
In sostanza, ha sottolineato la Reding, “trasparenza e informazione saranno i nuovi principi per affrontare le violazioni della sicurezza dei dati”.
Il Commissario ha quindi espresso la propria gratitudine al Parlamento per aver contribuito al rafforzamento delle competenze giuridiche previste dalla nuova normativa: “le nuove responsabilità per la sicurezza dei dati rappresentano un forte incentivo per convincere i dirigenti di una società a realizzare gli investimenti necessari per la prevenzione delle violazioni dei dati personali e per la resistenza delle reti e infrastrutture informatiche”.
L’approccio europeo in questo senso è molto chiaro: “Individuare le responsabilità e fornire i giusti incentivi alle parti interessate”.
Tali incentivi possono essere negativi, come l’obbligo di notifica delle violazioni, o positivi, come l’esenzione da responsabilità per gli operatori che possono dimostrare di aver messo in atto alcune norme minime di sicurezza.
Coloro i quali traggono profitto dalla rivoluzione dell’informazione, insomma, devono rispondere alle responsabilità di ordine pubblico che ne derivano.
“Anche se non sarà possibile prevenire tutte le violazioni, gli operatori devono essere pronti a minimizzare i rischi, garantendo che la gestione degli incidenti è prevista e organizzata in anticipo”.
“La mia visione – ha spiegato ancora la Reding – è che la sicurezza e la protezione dei dati nella società dell’informazione debbano essere basate su una valutazione globale dei rischi e su approcci di gestione comuni, che tengano conto di tutti i pericoli e le minacce, sia che provengano da cyber-attacchi, da perturbazioni naturali, o da qualsiasi altra fonte”.
La Commissione si è impegnata a rivedere le norme generali dell’Europa sulla tutela dei dati personali, alla luce del rapido sviluppo tecnologico e nel 2010 intende lanciare un’iniziativa volta a modernizzare e rafforzare la politica sulla sicurezza delle reti e delle informazioni.
“E’ essenziale – ha aggiunto la Reding – trovare le giuste risposte alle preoccupazioni espresse dai cittadini europei sui loro diritti fondamentali alla privacy e alla protezione dei dati”.
La fiducia dei consumatori nei riguardi delle tecnologie dell’informazione e della comunicazione è infatti la base imprescindibile per massimizzare i benefici dell’economia digitale. Le sfide per il futuro, riguarderanno principalmente alcune delle questioni rimaste in sospeso durante il dibattito sulla revisione della direttiva ePrivacy, quali la pubblicità mirata, la convergenza, e l’uso di indirizzi IP e di identificatori on-line:
Il seminario organizzato dal Garante europeo ed ENISA è stato dunque occasione per esplorare le sfide legate alle fasi principali del ciclo di violazione dei dati personali: prevenzione, gestione e notifica.
Nel corso del dibattito è stata evidenziata la necessità per i responsabili del trattamento dati e per gli altri soggetti interessati, di adottare una corretta gestione del rischio, per ridurre al minimo la possibilità di violazioni delle reti e dei dati.
Come è stato sottolineato negli interventi, non servono solo soluzioni tecnologiche ma anche misure organizzative, compreso l’aumento della responsabilità in capo ai più alti livelli di gestione degli enti coinvolti, che dovrebbero promuovere ugualmente lo sviluppo di adeguate garanzie e favorire una ripartizione più trasparente delle responsabilità.
Anche se l’obbligo di notifica delle violazioni sarà presto introdotto nella direttiva ePrivacy, il seminario ha riconosciuto che la crescente dipendenza della società dalle tecnologie dell’informazione e della comunicazione significa che il fenomeno della violazione dei dati va già molto al di là del settore delle comunicazioni elettroniche.
In questo senso, la Commissione ha sottolineato che, in consultazione con il Garante europeo e altre parti interessate, avrebbe esaminato le possibili soluzioni legislative per l’applicazione generale dell’obbligo di notifica delle violazioni.