Sintesi del parere del Garante europeo della protezione dei dati sulla comunicazione congiunta della Commissione e dell'alto rappresentante dell'Unione europea per gli affari esteri e la politica di sicurezza ´Strategia dell'Unione europea per la cibersicurezza: un ciberspazio aperto e sicuroª e sulla proposta didirettiva, presentata dalla Commissione, recante misure volte a garantire unlivello comune elevato di sicurezza delle reti e dell'informazione nell'Unione

Sintesidel parere del Garante europeo della protezione dei dati sulla comunicazionecongiunta della Commissione e dell'alto rappresentante dell'Unione europea pergli affari esteri e la politica di sicurezza ´Strategia dell'Unione europea perla cibersicurezza: un ciberspazio aperto e sicuroª e sulla proposta didirettiva, presentata dalla Commissione, recante misure volte a garantire unlivello comune elevato di sicurezza delle reti e dell'informazione nell'Unione

(Pubblicato sulla GUUE n. C 32 del 4/2/2014)

1. Introduzione

1.1. Consultazionedel GEPD

1. Il 7febbraio 2013 la Commissione e l'alto rappresentante dell'Unione europea pergli affari esteri e la politica di sicurezza hanno adottato una comunicazionecongiunta al Parlamento europeo, al Consiglio, al Comitato economico e socialeeuropeo e al Comitato delle regioni su una ´Strategia dell'Unione europea perla cibersicurezza: un ciberspazio aperto e sicuroª ⁽¹⁾ (in prosieguo ´la comunicazione congiuntaª, ´la strategia per lacibersicurezzaª o ´la strategiaª).

2. Alla stessadata, la Commissione ha adottato una proposta di direttiva del Parlamentoeuropeo e del Consiglio recante misure volte a garantire un livello comuneelevato di sicurezza delle reti e dell'informazione nell'Unione ⁽²⁾ (in prosieguo ´la proposta di direttivaª o ´la propostaª). Taleproposta è stata trasmessa il giorno stesso al GEPD per consultazione.

3. Primadell'adozione della comunicazione congiunta e della proposta, il GEPD ha avutola possibilità di formulare osservazioni informali alla Commissione. Il GEPD sicompiace del fatto che alcune di tali osservazioni siano state prese inconsiderazione nella comunicazione congiunta e nella proposta.

4. Conclusioni

74. Il GEPDaccoglie con favore la presentazione da parte della Commissione e dell'altorappresentante dell'Unione europea per gli affari esteri e la politica disicurezza di una strategia per la cibersicurezza completa, integrata da unaproposta di direttiva recante misure volte a garantire un livello comuneelevato di sicurezza delle reti e dell'informazione nell'Unione. La strategiasi aggiunge alle azioni politiche già sviluppate dall'UE in materia disicurezza delle reti e dell'informazione.

75. Il GEPDaccoglie positivamente il fatto che la strategia vada oltre l'approcciotradizionale che oppone la sicurezza alla vita privata prevedendo ilriconoscimento esplicito della vita privata e della protezione dei dati comevalori fondamentali che dovrebbero guidare la politica di cibersicurezzanell'Unione europea e a livello internazionale. Il GEPD rileva che la strategiaper la cibersicurezza e la proposta di direttiva sulla sicurezza delle reti edell'informazione possono svolgere un ruolo fondamentale nel contribuire agarantire la tutela dei diritti delle persone alla vita privata e allaprotezione dei dati nell'ambiente online. Occorre al contempo garantire cheesse non conducano a misure tali da costituire interferenze illecite con idiritti delle persone alla vita privata e alla protezione dei dati.

76. Il GEPD sicompiace inoltre che la protezione dei dati sia citata in diverse parti dellastrategia e sia presa in considerazione nella proposta di direttiva sullasicurezza delle reti e dell'informazione. Tuttavia, il GEPD si rammarica delfatto che la strategia e la proposta di direttiva non evidenzino in modo piùadeguato il contributo alla sicurezza offerto dalla normativa esistente efutura sulla protezione dei dati e non garantiscano pienamente che gli obblighiderivanti dalla proposta di direttiva o altri elementi della strategia sianocomplementari con gli obblighi di protezione dei dati e non si sovrappongano osi contraddicano a vicenda.

77. Inoltre, ilGEPD rileva che, non essendosi preso in considerazione e tenutosi pienamenteconto di altre iniziative parallele della Commissione e delle procedurelegislative in corso, come ad esempio la riforma della protezione dei dati e laproposta di regolamento in materia di identificazione elettronica e servizifiduciari, la strategia per la cibersicurezza non fornisce una visionerealmente globale e olistica della cibersicurezza nell'UE e rischia diperpetuare un approccio frammentato e parcellizzato. Il GEPD rileva inoltre chela proposta di direttiva sulla sicurezza delle reti e dell'informazione nonpermette nemmeno di adottare un approccio globale alla sicurezza nell'UE e chel'obbligo fissato nella normativa sulla protezione dei dati costituisceprobabilmente l'obbligo più completo in materia di reti e di sicurezza neldiritto dell'UE.

78. Il GEPD sirammarica inoltre del fatto che non sia considerato adeguatamente neanchel'importante ruolo delle autorità preposte alla protezione dei datinell'attuazione e nel controllo dell'adempimento degli obblighi in materia disicurezza e nel rafforzamento della cibersicurezza.

79. Per quantoriguarda la strategia per la cibersicurezza, il GEPD sottolinea quanto segue:

— unadefinizione chiara dei termini ´ciberresilienzaª, ´cibercrimineª e ´ciberdifesaªè particolarmente importante, dal momento che questi termini sono utilizzaticome giustificazione per alcune misure speciali che potrebbero causareinterferenze con i diritti fondamentali, inclusi i diritti alla vita privata ealla protezione dei dati. Tuttavia, le definizioni di ´cibercrimineª fornitenella strategia e nella convenzione sulla criminalità informatica restano moltoampie. Sarebbe opportuno disporre di una definizione chiara e restrittiva di´cibercrimineª piuttosto che di una definizione troppo ambiziosa,

— lanormativa sulla protezione dei dati dovrebbe applicarsi a tutte le azioni dellastrategia ogniqualvolta queste riguardino misure che comportano il trattamentodi dati personali. Sebbene la normativa sulla protezione dei dati non siamenzionata specificamente nelle sezioni relative al cibercrimine e allaciberdifesa, il GEPD sottolinea che molte delle azioni previste in questisettori comporterebbero il trattamento di dati personali e rientrerebberopertanto nell'ambito di applicazione della normativa vigente in materia diprotezione dei dati. Il GEPD osserva inoltre che molte azioni consistono nellacreazione di meccanismi di coordinamento, che richiederanno l'attuazione diadeguate garanzie di protezione dei dati per quanto riguarda le modalità discambio dei dati personali,

— leautorità preposte alla protezione dei dati svolgono un ruolo importante nelcontesto della cibersicurezza. Come custodi dei diritti delle persone alla vitaprivata e alla protezione dei dati, tali autorità sono attivamente impegnatenella protezione dei dati personali, sia offline sia online, e dovrebberoquindi essere opportunamente coinvolte nel loro compito di organismi divigilanza in relazione all'attuazione delle misure che comportano iltrattamento di dati personali (come ad esempio il lancio del progetto pilotadell'UE per la lotta contro botnet e malware). Anche altri attorinel campo della cibersicurezza dovrebbero cooperare con dette autorità nellosvolgimento dei propri compiti, per esempio nello scambio di buone pratiche edi azioni di sensibilizzazione. Il GEPD e le autorità nazionali preposte allaprotezione dei dati dovrebbero anche essere adeguatamente coinvolti nellaconferenza di alto livello che sarà convocata nel 2014 per valutare i progressicompiuti nell'attuazione della strategia.

80. Per quantoriguarda la proposta di direttiva sulla sicurezza delle reti, il GEPDraccomanda al legislatore di:

—provvedere a una maggiore chiarezza e certezza nell'articolo 3, punto 8, sulladefinizione degli operatori di mercato che rientrano nel campo di applicazionedella proposta nonché costituire un elenco esaustivo comprendente tutte leparti interessate, al fine di garantire un approccio pienamente armonizzato eintegrato alla sicurezza all'interno dell'Unione europea,

—chiarire all'articolo 1, paragrafo 2, lettera c), che la proposta di direttivasi applica alle istituzioni e agli organi dell'Unione europea, includendo unriferimento al regolamento (CE) n. 45/2001 all'articolo 1, paragrafo 5, dellaproposta,

—riconoscere un ruolo più trasversale per questa proposta in materia disicurezza, prevedendo esplicitamente all'articolo 1 che essa debba applicarsifatte salve le norme più dettagliate, già in essere o future, in areespecifiche (come quelle previste sui prestatori di servizi fiduciari nellaproposta di regolamento in materia di identificazione elettronica),

— aggiungere un considerando perspiegare la necessità di integrare la protezione dei dati fin dallaprogettazione e in modalità predefinita a partire dalla fase iniziale dellaprogettazione dei meccanismi stabiliti nella proposta e nell'intero ciclo divita di processi, procedure, organizzazioni, tecniche e infrastruttureinteressate, tenendo conto della proposta di regolamento sulla protezione deidati,

—chiarire le definizioni di ´rete e sistema informativoª di cui all'articolo 3,punto 1 e di ´incidenteª di cui all'articolo 3, punto 4, e sostituireall'articolo 5, paragrafo 2, l'obbligo di istituire ´un piano di valutazionedei rischiª con ´la creazione e il mantenimento di un quadro di gestione deirischiª,

—specificare nell'articolo 1, paragrafo 6, che il trattamento dei dati personalisarebbe giustificato ai sensi dell'articolo 7, lettera e), della direttiva95/46/CE nella misura in cui ciò sia necessario per conseguire gli obiettivid'interesse generale perseguiti dalla proposta di direttiva. Tuttavia, deveessere assicurato il rispetto dei principi di necessità e di proporzionalità,in modo che siano trattati solo i dati strettamente necessari al conseguimentodello scopo,

—elencare all'articolo 14 le circostanze in cui è richiesta una notifica nonchéil contenuto e il formato di detta notifica, compresi i tipi di dati personaliche devono essere notificati e se, e in quale misura, la notifica e i relatividocumenti giustificativi debbano includere parti di dati personali interessateda uno specifico incidente di sicurezza (come ad esempio gli indirizzi IP). Sideve tener conto del fatto che le autorità competenti per la sicurezza dellereti e dell'informazione dovrebbero essere autorizzate a raccogliere edelaborare dati personali nel quadro di un incidente di sicurezza solo quandostrettamente necessario. Dovrebbero essere stabilite nella proposta appropriatemisure di salvaguardia per garantire l'adeguata protezione dei dati trattatidalle autorità competenti per la sicurezza delle reti e dell'informazione,

—chiarire all'articolo 14 che le notifiche degli incidenti di cui all'articolo14, paragrafo 2, dovrebbero applicarsi fatti salvi gli obblighi di notificadelle violazioni dei dati personali ai sensi della normativa applicabile inmateria di protezione dei dati. Devono essere presentati nella proposta gliaspetti principali della procedura per la cooperazione delle autoritàcompetenti per la sicurezza delle reti e dell'informazione con le autoritàpreposte alla protezione dei dati nei casi in cui l'incidente di sicurezzacomporti una violazione di dati personali,

—modificare l'articolo 14, paragrafo 8, in modo che l'esclusione dellemicroimprese dal campo di applicazione della notifica non si applichi a queglioperatori che svolgono un ruolo cruciale nella prestazione di servizi dellasocietà dell'informazione, per esempio in considerazione della natura delleinformazioni che elaborano (ad es. dati biometrici o dati sensibili),

—aggiungere nella proposta disposizioni che disciplinino l'ulteriore scambio didati personali da parte delle autorità competenti per la sicurezza delle reti edell'informazione con altri destinatari, al fine di garantire che i) i datipersonali siano comunicati unicamente ai destinatari che devono procedere altrattamento per lo svolgimento dei propri compiti, conformemente aun'appropriata base giuridica; e ii) tali informazioni siano limitate a quantonecessario per l'assolvimento di detti compiti. Occorre altresì considerare ilmodo in cui le entità che forniscono i dati alla rete di condivisione delleinformazioni garantiscono il rispetto del principio di limitazione dellefinalità,

—specificare il limite di tempo per la conservazione dei dati personali per lefinalità indicate nella proposta di direttiva, in particolare per quantoriguarda la conservazione da parte delle autorità competenti per la sicurezzadelle reti e dell'informazione e all'interno dell'infrastruttura sicura dellarete di cooperazione,

—ricordare alle autorità competenti per la sicurezza delle reti edell'informazione il loro dovere di fornire informazioni appropriate agliinteressati riguardo al trattamento dei dati personali, per esempio pubblicandosul proprio sito web la politica in materia di privacy,

—aggiungere una disposizione relativa al livello di sicurezza che deve essererispettato dalle autorità competenti per la sicurezza delle reti edell'informazione per quanto riguarda le informazioni raccolte, elaborate escambiate. Dovrebbe essere specificamente incluso un riferimento ai requisitidi sicurezza di cui all'articolo 17 della direttiva 95/46/CE per quantoriguarda la protezione dei dati personali da parte delle autorità competentiper la sicurezza delle reti e dell'informazione,

—chiarire all'articolo 9, paragrafo2, che i criteri per la partecipazione degli Stati membri al sistema sicuro discambio di informazioni dovrebbero garantire un elevato livello di sicurezza eresilienza da parte di tutti i partecipanti ai sistemi di condivisione delleinformazioni in tutte le fasi del trattamento. Tali criteri dovrebberoincludere misure appropriate in materia di riservatezza e di sicurezzaconformemente agli articoli 16 e 17 della direttiva 95/46/CE e agli articoli 21e 22 del regolamento (CE) n. 45/2001. La Commissione dovrebbe essereespressamente vincolata da tali criteri per la sua partecipazione al sistemasicuro di scambio di informazioni in veste di responsabile del trattamento,

—aggiungere all'articolo 9 una descrizione dei ruoli e delle responsabilitàdella Commissione e degli Stati membri nella configurazione, gestione emanutenzione del sistema sicuro di scambio di informazioni e disporre che laprogettazione del sistema sia effettuata in conformità dei principi diprotezione dei dati fin dalla progettazione e in modalità predefinita nonchédei principi di sicurezza fin dalla progettazione,

—aggiungere all'articolo 13 che qualsiasi trasferimento di dati personali adestinatari situati in paesi al di fuori dell'UE dovrebbe avvenire in conformitàdegli articoli 25 e 26 della direttiva 95/46/CE e dell'articolo 9 delregolamento (CE) n. 45/2001.

Fatto aBruxelles, il 14 giugno 2013

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

( 1 )JOIN(2013) 1 final.

( 2 )COM(2013) 48 final.