I punti di possibile frizione e di necessaria integrazione fra privacy e cybersecurity

• Primo Piano
• Lunedì, 23 Ottobre 2023 17:33

In un precedente articolo ho evidenziato come l’ecosistema della Data Protection possa essere diviso in 2 domini complementari: la privacy e la cybersecurity. Caliamo ora la lente sui campi in cui vi possono essere punti di possibile frizione e di necessaria integrazione fra questi 2 importanti domini.

(Nella foto: Giuseppe Alverone, Data Protection Officer dell'Arma dei Carabinieri, sarà speaker al Cyber & Privacy Forum 2023)

La condivisione delle informazioni sulle minacce - Un settore molto importante è quello della condivisione delle informazioni sulle minacce (la c.d. threat intelligence sharing).
Si tratta di una pratica attraverso la quale aziende e pubbliche amministrazioni condividono informazioni relative alle minacce informatiche e alle vulnerabilità dei sistemi. Questa condivisione è cruciale poiché consente alle organizzazioni di collaborare, di imparare dagli altri e di prevenire futuri attacchi. In sintesi, consente di mantenere un ambiente digitale più sicuro per tutti.

Però questa condivisione deve essere gestita con grandissima attenzione poiché, quantunque sia davvero molto utile per migliorare la sicurezza complessiva, può comportare elevati rischi per la privacy. Infatti, insieme alle informazioni sulle minacce potrebbero essere condivisi anche dati personali come ad esempio nominativi, indirizzi e-mail o dati sensibili come le informazioni finanziarie o i dati sanitari. Questi dati personali potrebbero poi essere utilizzati impropriamente da parti non autorizzate o malintenzionate.

Ecco quindi un primo punto di possibile frizione fra i 2 domini che dovrebbe necessariamente trasformarsi in punto di integrazione, come specificamente indicato dalla DORA e dalla Direttiva NIS2.

Vediamo nel dettaglio di cosa si tratta.

I punti di possibile frizione e di necessaria integrazione tra cybersecurity e privacy nella DORA - Il REGOLAMENTO (UE) 2022/2554 (la c.d. DORA: Digital Operational Resilience Act) che si applica al settore finanziario, con il Considerando 34 e con l’articolo 45, incoraggia le entità finanziarie a scambiarsi reciprocamente informazioni e analisi delle minacce informatiche, tra cui indicatori di compromissione, tattiche, tecniche e procedure e segnali di allarme per la cybersecurity.

In questo modo, le stesse entità finanziarie possono sfruttare collettivamente, sul piano strategico, tattico e operativo, le conoscenze e le esperienze pratiche che hanno acquisito a livello individuale al fine di:

- accrescere le proprie capacità di valutare e monitorare adeguatamente le minacce informatiche,
- difendersi dai loro effetti e rispondervi.

Per realizzare questa importantissima finalità, le entità finanziarie dovrebbero dar vita a meccanismi volontari di condivisione delle informazioni che siano però:

- in grado di tutelare la natura potenzialmente sensibile delle informazioni condivise
- disciplinati, contestualmente, da norme di condotta pienamente rispettose della riservatezza dell’attività economica e della protezione dei dati personali ai sensi del GDPR. In particolare detti meccanismi di condivisione devono operare solo sulla base del ricorso a una o più basi giuridiche stabilite all’articolo 6 del GDPR, tra le quali vengono poste in evidenza il legittimo interesse del titolare del trattamento, l’obbligo legale e il compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

I punti di possibile frizione e di necessaria integrazione nella Direttiva NIS2 - Lo stesso punto di possibile frizione tra cybersecurity e privacy, che deve necessariamente trasformarsi in integrazione, è ravvisabile anche nella Direttiva UE 2022/2555 (la c.d.NIS2), che nel Considerando 121, riconosce che lo scambio delle informazioni sulle minacce e vulnerabilità e le misure relative alla prevenzione, al rilevamento, all'individuazione, al contenimento e all'analisi degli incidenti e alla risposta agli stessi, potrebbero richiedere il trattamento di talune categorie di dati personali, quali:

- indirizzi IP,
- localizzatori uniformi di risorse (URL),
- nomi di dominio,
- indirizzi di posta elettronica.

Anche in questo caso viene evidenziato l’obbligo di fondare il trattamento di questi dati personali sulle basi giuridiche stabilite all’articolo 6 del GDPR tra le quali vengono poste in evidenza il legittimo interesse del titolare del trattamento, l’obbligo legale e il compito di interesse pubblico o connesso all’esercizio di pubblici poteri.

Ancora, sempre la Direttiva NIS2, nel Considerando 51 stabilisce che gli Stati membri dovrebbero incoraggiare l'uso di ogni tecnologia innovativa, compresa l'intelligenza artificiale, per migliorare l'individuazione e la prevenzione degli attacchi informatici.

Ecco così, un altro punto di possibile frizione tra i 2 domini: sappiamo molto bene quali e quanti rischi comporta per i diritti e le libertà fondamentali l'utilizzo di tutte le tecnologie innovative in generale e l'intelligenza artificiale in particolare. Per questo motivo la stessa Direttiva NIS2 si premura di ricordare che questi sistemi, tanto innovativi quanto invasivi, devono rispettare pienamente:

- i principi di protezione dei dati personali con riguardo all'accuratezza, alla minimizzazione dei dati, all'equità e alla trasparenza, nonché alla sicurezza dei dati stessi;
- i requisiti di protezione dei dati fin dalla progettazione e predefiniti (privacy by design e by default).

Conclusioni - Questi casi concreti appena descritti rendono ancor più evidente la trasversalità e la multidisciplinarietà della Data Protection che si conferma come fondamentale presidio dei dati personali e dei connessi diritti e libertà fondamentali.

In verità, questi casi sono anche un monito, perché ricordano come la cooperazione e la condivisione delle conoscenze e delle esperienze, prima che fra le diverse organizzazioni, debba avvenire all’interno di ciascuna organizzazione fra le persone che esprimono le diverse professionalità (DPO, CISO etc.).