Audizione informale del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione - Audizioni nell'ambito dell'esame del disegno di legge C. 1717​ Governo, recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici

Camera dei deputati - Commissioni riunite I e II

(22 marzo 2023)

- IL VIDEO DELL'AUDIZIONE

Ringrazio anzitutto le Commissioni per quest’occasione di confronto su temi, quali quelli sottesi al ddl, di primaria importanza sotto molteplici aspetti. Il Garante non può che condividere, in primo luogo, l’intento perseguito attraverso quest’iniziativa legislativa, di rafforzare la sicurezza cibernetica quale dimensione ormai cruciale della sicurezza, anche nazionale. La protezione dei dati, la cui cura è affidata al Garante secondo quanto previsto dall’art. 8 Cdfue, ne è un presupposto determinante, nella misura in cui assicura la tutela di ciò che, come i dati personali, costituisce l’elemento costitutivo dell’ecosistema digitale.

La complementarietà tra protezione dei dati e sicurezza cibernetica non è, del resto, casuale, se si pensa alla funzione originaria della prima nell’ordinamento europeo: essa è stata, infatti, considerata un bene giuridico che ciascuno Stato membro avrebbe dovuto tutelare adeguatamente per poter entrare nell’area Schengen, in quanto presupposto per la sicurezza dell’area stessa.

Gli sviluppi più recenti dimostrano quanto tale concezione originaria del rapporto tra protezione dei dati e sicurezza – come sinergico, non un gioco a somma zero – fosse lungimirante: in un’economia e una società fondata sui dati, proteggere questi significa proteggere ad un tempo i singoli e la collettività.

La disciplina di protezione dati ne è una dimostrazione significativa: l’intero Regolamento generale sulla protezione dei dati si fonda sulla valutazione del rischio connesso alla gestione dei dati personali, delle vulnerabilità e dei deficit infrastrutturali dei sistemi che li ospitano e impone misure, di sicurezza, appunto, volte a prevenire violazioni e a contenerne il pregiudizio eventualmente derivatone.

A ciò provvede, in particolare, l’istituto della notifica delle violazioni di dati personali che consente al Garante di prescrivere le misure idonee a limitare il danno suscettibile di derivare, ai vari soggetti interessati, dal data breach. E’ frequente che le violazioni di dati personali integrino anche incidenti di sicurezza rilevanti, appunto, in termini di cybersecurity e viceversa.  Questo dimostra, ancora una volta, quanto sia rilevante la sinergia tra protezione dati e cybersicurezza, sancita anche normativamente dalla disciplina istitutiva dell’Agenzia per la cybersicurezza nazionale (d.l. 82 del 2021, conv. l. 109 del 2021). Il suo articolo 7, al comma 5, sancisce infatti espressamente la collaborazione dell’Agenzia con il Garante, in particolare mediante specifici protocolli d’intesa che possono riguardare (e riguardano) la gestione degli incidenti che comportino data breach. La cooperazione tra Acn e Garante, anche e soprattutto su questo aspetto, consente infatti di assicurare livelli elevati di sicurezza, resilienza, integrità tanto dei dati quanto dei sistemi e delle infrastrutture digitali, tutelando ad un tempo i singoli e, appunto, quella componente sempre più centrale della sicurezza nazionale e dell'interesse nazionale che è la sicurezza cibernetica (art.1, n.1, d.l. 82/21).

Il primo Capo del disegno di legge interviene proprio su questo aspetto e sulla tutela amministrativa della cybersicurezza, anche estendendo l’ambito applicativo di alcuni adempimenti (in particolare, di notifica degli incidenti di sicurezza) ad amministrazioni centrali ed enti ad autonomia territoriale. Questa disposizione, in particolare, coinvolge indirettamente il Garante proprio in ragione della previsione generale dell’art. 7, c.5, d.l. 82/21 e dei suoi protocolli attuativi, relativa alla cooperazione tra Acn e Autorità nel caso di incidenti di sicurezza che coinvolgano anche dati personali. L’esperienza di questi anni dimostra quanto questa previsione sia stata opportuna, dal momento che la collaborazione, lo scambio informativo e, in termini più generali la sinergia dell’azione del Garante e di Acn si è rivelata spesso determinante per la migliore gestione di attacchi hacker, azioni fraudolente o, comunque, illeciti analoghi. L’estensione degli obblighi di notifica ad Acn di incidenti di sicurezza, prevista dall’art. 1 del ddl, rafforzerà e amplierà dunque, parallelamente, anche le occasioni di cooperazione con l’Agenzia.

Il secondo Capo del disegno di legge rafforza, invece, le misure di contrasto di alcuni reati informatici funzionali, anch’essi, alla sicurezza cibernetica quale, in particolare, il delitto di accesso abusivo a sistemi informatici con un significativo inasprimento sanzionatorio, il divieto di bilanciamento delle più rilevanti circostanze aggravanti con attenuanti eventualmente concorrenti, l’introduzione di reati ostativi, prodromici alla realizzazione di altre, più gravi, forme di violazione, la previsione di attenuanti a effetto speciale fondate sul ravvedimento operoso e la collaborazione dell’imputato con l’attività degli inquirenti.

Naturalmente, anche queste misure concorrono, soprattutto attraverso la deterrenza propria della sanzione penale, ad assicurare livelli elevati di cybersicurezza e, nella misura in cui siano coinvolti dati personali, a prevenire violazioni (tra le più gravi) della privacy, che si realizzano con l’indebita acquisizione di informazioni personali, spesso sensibili e con l’ancor più grave successiva divulgazione a terzi. Tuttavia, va anche ricordato che in quest’ambito, già oggi, la disciplina di protezione dati personali offre un apparato normativo organico, articolato su vari piani (preventivo e sanzionatorio, amministrativo e penale) particolarmente efficace e tendenzialmente completo.

I vari plessi normativi in cui si articola la disciplina di protezione dati (Reg Ue 2016/679, Codice in materia di protezione dei dati personali e d.lgs. 51 del 2018, relativo al trattamento dei dati nei settori della giustizia penale della pubblica sicurezza) delineano infatti una serie di misure, di natura appunto tanto preventiva quanto repressiva, volte in primo luogo a impedire usi illeciti di dati personali con una serie di cautele e controlli che dovrebbero scongiurarne la realizzazione e, se del caso, a sanzionarla sul piano amministrativo e penale, offrendo anche alle vittime una tutela particolarmente efficace perché di natura tanto remediale quanto risarcitoria del danno subito.

La sinergia delle componenti preventiva, sanzionatoria e remediale è tale da rendere questa disciplina la più completa sotto il profilo del contrasto ad illeciti telematici fondati sull’uso fraudolento o anche solo scorretto di informazioni personali, su cui il dibattito delle Commissioni si è correttamente appuntato in questi giorni.

Particolarmente rilevante, da questo punto di vista, il compendio di obblighi, sancito da questa normativa in capo a chiunque tratti dati personali, in qualunque settore, sia esso pubblico o privato, di adozione di misure di sicurezza volte a prevenire usi illeciti di informazioni, quali ad esempio tracciabilità delle operazioni svolte su dati e sistemi, funzionale alla ricostruzione di eventuali azioni illecite; alert e sistemi di audit volti ad attivare controlli specifici rispetto a condotte potenzialmente devianti e anomalie comportamentali; ricorso alla crittografia per proteggere i dati più delicati rendendoli non più direttamente identificativi; selettività e limitazione degli accessi in ragione della legittimazione di ciascun operatore allo svolgimento di determinate attività; misure di elevata protezione, fisica ma soprattutto logica, dei sistemi nei quali i dati sono archiviati.

L’omessa adozione di tali misure (e di molte altre, tutte funzionali alla sicurezza del trattamento), anche in assenza di altri illeciti o danni causati agli interessati, può integrare, di per sé sola, gli estremi di violazioni amministrative sanzionate sino a 20 milioni di euro (o al 4% del fatturato se si tratta di imprese). Esse si applicano al titolare del trattamento, in quanto fondate su di una colpa di organizzazione affine, per certi versi, a quella della responsabilità amministrativa da reato degli enti (d.lgs. 231 del 2001). La natura amministrativa della sanzione, la sua imputabilità all’ente (amministrazione o azienda complessivamente intesa) o, comunque, a chi eserciti un potere decisionale sul trattamento rende l’apparato sanzionatorio a disposizione del Garante particolarmente efficace e, proprio in ragione della sua deterrenza, utile a contrastare e prevenire, prima ancora che a reprimere, fenomeni come il dossieraggio, l’esfiltrazione di dati, gli accessi abusivi.

Le sanzioni penali si connotano, invece, per degli elementi specializzanti (dolo di profitto o di danno, condotte commesse su larga scala, evento di danno) e si applicano anche a chi materialmente operi sui dati, realizzando acquisizioni fraudolente, comunicazione e diffusione illecita di dati.

Le intersezioni con l’ambito applicativo di alcuni reati informatici sono, dunque, possibili, nei casi in cui il sistema violato contenga, come nella maggior parte dei casi, anche dati personali.

Di quest’evenienza si potrebbe tenere conto nel disegno di legge, ad esempio estendendo ai reati informatici considerati le norme sullo scambio informativo tra Procure della Repubblica e Garante sancite dal d.lgs. 196 del 2003 (art. 167, c. 4 e 5) e attuate con vari protocolli d’intesa, così da garantire un tempestivo intervento dell’Autorità per i profili di sua competenza.

In tal modo si potrebbe assicurare, anche sotto questo profilo, quella leale collaborazione tra istituzioni tanto più necessaria rispetto a un obiettivo, quale quello della tutela della cybersicurezza, che necessariamente coinvolge plurimi attori istituzionali.

Vi ringrazio.