L’Unione europea ha recentemente varato una nuova disciplina per il “trattamento e protezione dei dati” dove non si parla più di “privacy” bensì di “data protection”. Cosa vorrà significare questo cambio terminologico? Si tratta solo di forma o c’è anche la sostanza?
Da sempre nell’IT, siamo abituati a rinnovamenti terminologici, che non sempre corrispondono a un effettivo cambio di paradigma. Questa volta, però, non sembra essere così. Con il regolamento (self-executing) e una direttiva specifica, la UE ha voluto cogliere tre obiettivi. Il primo è di innalzare il livello di protezione dei dati (non solo privacy). Il secondo, di uniformare, per tutti i paesi UE, le norme specifiche. Infine, il terzo obiettivo è di proteggere i dati che nascono all’interno dell’Unione, anche quando vengono esportati fuori dai suoi confini.
Il regolamento è stato pubblicato in Gazzetta Ufficiale e, quindi, è già entrato in vigore, anche se prevede un periodo di inapplicabilità di due anni. Ciò significa che sarà pienamente operativo solo a partire dal giugno 2018. La direttiva invece necessita del recepimento nazionale. Il nuovo corpus abroga la direttiva 95/46/CE e, quindi, anche il nostro codice della privacy (d.lgs n.196/2003): anche se rimarranno in vigore le decisioni della Commissione e le autorizzazioni delle Autorità nazionali di controllo e la direttiva 2002/58/CE sul trattamento dei dati nel settore delle comunicazioni elettroniche.
Dalla data di entrata in vigore e fino alla data di applicazione della nuova norma, si avrà un periodo di transizione, in cui le nuove norme si affiancheranno alle precedenti, sostituendole definitivamente solo al termine. Si sa, nel Vecchio continente non piacciono le cose semplici. Le implicazioni dal 2018 in poi saranno notevoli. I trattamenti dei dati dovranno essere conformi fin dalla loro progettazione (privacy by design). Inoltre, se un trattamento ha insito il rischio per i diritti e le libertà personali, occorrerà un’analisi ex-ante dell’impatto (privacy impact assessment) qualora fossero violate le misure di protezione. Poi, non vi sono più le “misure minime di sicurezza”, ma l’adozione di “misure che possano garantire il livello di sicurezza adeguato al rischio, tenuto conto dello stato dell’arte e dei costi, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento”.
Infine, diventa obbligatoria una nuova figura professionale, il “data protection officer”, per chi svolge attività di trattamento di dati che, per loro natura, richiedono il monitoraggio sistematico dei dati personali. è chiaro, quindi, il forte impatto introdotto nel comparto sicurezza che richiederà una nuova strategia di gestione. In concomitanza con altre evoluzioni, sempre di più si assottiglieranno le divisioni tra sicurezza fisica e logica, tra mondo reale e mondo digitale. Così come la difesa perimetrale e la sicurezza basata sulle regole e sulla prevenzione risulteranno inadeguate. I responsabili dovranno concentrarsi sulla rilevazione e la risposta alle minacce, e attuare un’architettura di sicurezza adattativa e proattiva.
Quello che non cambia, ma anzi si rafforza, è la centralità, a livello di governance, della gestione della sicurezza. Si dovrà passare dalla security tradizionale alla “cyber physical security” cioè a una sicurezza proattiva globale integrata e di sistema. Il nuovo approccio dovrà concentrare la responsabilità in un unico punto di raccordo, al più alto livello manageriale, e gestire il fenomeno anche all’esterno con i necessari raccordi con i sistemi di sicurezza nazionali ed europeo. Chi ha tempo non aspetti tempo.