Guida completa agli adempimenti privacy e cyber per aziende ICT

Dall'entrata in vigore del GDPR nel 2018, è notevole la quantità di legislazione prodotta per la protezione dei dati personali, la cyber security e altri aspetti correlati. Esaminiamo le principali leggi finora approvate che avranno un impatto nel settore tecnologico, concentrandoci sulle responsabilità che le imprese ICT dovranno assumere per garantire la conformità.

Ci sono numerose leggi che saranno presto applicate nel campo dei servizi digitali: analizziamo il loro impatto sulle imprese private che operano nel settore delle tecnologie dell'informazione e della comunicazione (ICT), dal punto di vista della sicurezza informatica e cybernetica, con un particolare accento sul commercio elettronico e le relative conseguenze.

Iniziando con un esame delle fonti normative, vogliamo concentrare la nostra attenzione su quelle di maggiore rilevanza, in base all'ordine cronologico, per essere in grado di fornire una breve panoramica complessiva iniziale, e in particolare:

• la Direttiva 2000/31/CE sul commercio elettronico recepita in Italia con il D. Lgs. 70/2003, e concernente i servizi della società dell’informazione e del commercio elettronico nell’UE;
• la Direttiva 2002/21/CE sulle reti e i servizi di comunicazione elettronica impattante il settore delle comunicazioni elettroniche, inclusi i servizi di telecomunicazione e ICT;
• il Regolamento (UE) 910/2014 cd eIDAS sui servizi di identificazione elettronica e fiducia per le transazioni elettroniche nel mercato interno che regola i servizi di identificazione elettronica e fiducia per le transazioni elettroniche riguardando alcuni aspetti dei servizi ICT;
• il Regolamento generale sulla protezione dei dati personali 2016/679, noto a tutti come GDPR, concernente la protezione dei dati personali dei cittadini dell’Unione europea, con significative implicazioni per i fornitori di servizi ICT che trattano dati personali e novellato D.lgs. 196/2003 Codice Privacy come modificato dal D.Lgs. 101/2018;
• la Direttiva 2016/2102 sull’accessibilità dei siti web e delle applicazioni per dispositivi mobili del settore pubblico riguardante, per l’appunto, l’accessibilità dei siti web e delle app pubbliche, inclusi quelli che offrono servizi ICT;
• la Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi che impone requisiti di sicurezza agli operatori di servizi essenziali e di infrastrutture critiche, inclusi quelli del settore ICT;
• la recente Direttiva 2019/790 sul diritto d’autore nel mercato unico digitale recepita in Italia con il Decreto Legislativo 8 novembre 2021, n. 177 la quale introduce nuove norme in materia, che possono interessare i fornitori dei servizi ICT, come ad esempio le piattaforme di condivisione di contenuti;
• il Regolamento (UE) 2022/2065 cd Digital Services Act (DSA) sui servizi digitali nonché sui mercati digitali che mirano a creare uno “spazio unico digitale più sicuro nel quale siano protetti i diritti fondamentali degli utenti creando condizioni di parità per le imprese”;
• il Regolamento (UE) 2022/1925 cd Digital Market Act (DMA)sui mercati digitali;‍
• il Regolamento (UE) 2022/868 cd Digital Governance Act (DGA) sulla governance dei dati tutti, e non solo quelli personali, approvato nel contesto della UE onde creare uno spazio  digitale europeo per la loro condivisione e collegato al Data Act;
• Il Regolamento (UE) 2022/2554 cd Digital Operational Resilience Act (DORA) relativo alla resilienza operativa digitale per il settore finanziario.

Le date, un breve riepilogo

Nella tabella è presentato un breve scadenziario degli ultimi regolamenti citati

Le principali normative europee di recente uscita

Dall'anno 2014 ad ora, la Commissione europea ha avviato diverse iniziative legislative, creando un contesto solido per aumentare la fiducia nel digitale. Esaminiamole in modo più dettagliato di seguito.

GDPR: la normativa madre

Innanzitutto, dobbiamo ringraziare il GDPR, la legislazione che si può chiamare matrice, attraverso la quale l'Unione Europea ha stabilito il primo significativo elemento verso un mercato unitario dei dati e quindi delle informazioni, che circolano principalmente nel settore digitale. “Se non c’è mercato unico — come ha sostenuto il Prof. Pizzetti, al Privacy Day 2023 — non c’è [nè ci può essere] Europa”.

In questo contesto, l'interpretazione applicativa del GDPR in base ai più recenti regolamenti europei ha creato un punto di divisione, stabilendo numerose aree di intersezione. È sufficiente considerare il principio dell'accountability come fonte di ispirazione per molte delle normative successive.

Digital Governance Act – DGA e Data Act

Il 23 giugno2022, è stato introdotto il Data Governance Act - DGA, che sarà applicabile a partire da settembre 2023. Nel frattempo, la metà di marzo 2023, ha visto il Parlamento europeo dare il via libera alla legge proposta per il Data Act. È in dubbio che l'UE abbia come nobile intento di stabilire un mercato unico per i dati, creando un ambito digitale europeo che sia sicuro e di fiducia, aggiungendo nuovi elementi alla Strategia Europea per i Dati.

Questi sono due regolamenti che adottano un approccio integrato; il DGA funge da piattaforma per lo scambio e il riutilizzo dei dati detenuti dalle autorità pubbliche, con un focus sulla governance, mentre il Data Act serve a generare valore, stabilendo le relative condizioni.

Digital Service Act – DSA

Il Digital Service Act - DSA è entrato in vigore il 16 novembre 2022 e diventerà obbligatorio dal 17 febbraio 2024.

Questo è un regolamento destinato a tutti i servizi digitali, che copre un'ampia gamma di servizi online, che vanno dai semplici siti web ai servizi di infrastruttura internet e alle piattaforme online, e di conseguenza anche ai Providers (mere conduit, caching, hosting). Inoltre, si rivolge ai servizi di intermediazione che forniscono infrastrutture di rete, servizi di hosting come i servizi cloud e web hosting, piattaforme online che mettono in contatto venditori e consumatori come mercati online, app store, piattaforme di economia condivisa e piattaforme di social media.

Fra i nobili scopi del DSA sono compresi l'istituzione di standard di trasparenza e responsabilità più severi legati alle politiche di moderazione dei contenuti, l'introduzione di obblighi per valutare i rischi provenienti dai sistemi e la creazione di strumenti appropriati per la gestione dei rischi, il tutto con lo scopo di tutelare l'integrità dei servizi da metodi di manipolazione.

Le risonanze con il GDPR sono chiare e sono visibili in un sistema di due diligence che era già delineato dal GDPR. Questo segna la transizione da un sistema di irresponsabilità a una crescente responsabilizzazione degli operatori web, attraverso l'implementazione della valutazione dei rischi. Di conseguenza, viene richiamato il principio di responsabilità sancito dal GDPR (DPIA).

Digital Market Act – DMA

Il DMA è entrato in vigore il 1° novembre 2022 e sarà pienamente operativo dal 25 giugno2023. Questo si inserisce (insieme al DSA) nel quadro legislativo più ampio relativo ai servizi digitali, con l'obiettivo di garantire e salvaguardare l'equità tra le aziende che lavorano nel settore digitale.

Il DMA mira a stabilizzare la competizione nel mercato digitale, garantendo la giustizia del settore, rivolgendosi a tutti i servizi di piattaforma fondamentali forniti/distribuiti dai gate keeper (o "custodi del cancello"), cioè i responsabili dell'accesso, agli utenti commerciali stabiliti nell'Unione Europea, agli utenti finali, essenzialmente ai fornitori di servizi di piattaforma essenziali che forniscono servizi, ad esempio, ma non in modo esaustivo, di intermediazione online, motori di ricerca online; reti sociali; servizi di cloud computing, ecc.

Digital Operational Resilience Act – DORA

Il DORA è diventato effettivo il 16 gennaio 2023 e sarà obbligatorio dal 17 gennaio 2025.La sua ambizione è di consolidare ed armonizzare i requisiti chiave della cybersecurity, con un particolare interesse per la resistenza operativa digitale nel settore finanziario, a livello europeo. Non solo è destinato agli istituti tradizionali di finanza e assicurazione, ma anche alle compagnie di investimento, alle agenzie di rating, ai fondi pensione aziendali o professionali, ai revisori contabili, ai fornitori di servizi di comunicazioni di dati e di crowdfunding, così come ai fornitori "di vitale importanza" dei servizi di ICT Security.

In generale, tutti gli attori/ operatori menzionati che saranno coinvolti a diversi livelli, dovranno attenersi a "regole omogenee e trasversali progettando un modello di resilienza digitale 'by design', che include una gestione del rischio integrata in tutto il ciclo di vita dei servizi".

Gli adempimenti a carico delle aziende del settore ICT

Dopo aver stabilito questa ampia premessa teorica, approfondiamo maggiormente gli specifici requisiti di conformità che le imprese del settore ICT devono rispettare. Esamineremo solo alcuni di questi, per motivi di convenienza, concentrandoci in particolare sul DMA, DSA e DORA.

Obblighi per un’adeguata compliance al DMA

Cominciamo ricordando che il DMA è già completamente attivo, da giugno 2023. Per quanto riguarda gli obblighi di adeguata conformità, indichiamo successivamente quali sono i compiti dei cosiddetti gatekeeper:

• incoraggiare con moderazione la promozione dei propri prodotti, offrendo allo stesso tempo più opzioni di pagamento, e stabilendo per i clienti commerciali termini equi;
• utilizzare esclusivamente le informazioni personali raccolte in relazione al servizio (finalità) specifico di riferimento;
• richiedere l'approvazione quando si registra utenti finali ad altri servizi.

D'altra parte, questi - per rimanere in conformità con la normativa in questione - non dovrebbero:

• installare preliminarmente determinate applicazioni software;
• utilizzare tecniche di vendita in bundle;
• gestire, combinare o utilizzare intersecatemente le informazioni personali degli utenti finali che fanno     uso dei servizi di terze parti.

In difetto, sono previste sanzioni “…fino al 10% del fatturato totale annuo mondiale dell’azienda o fino al 20% in caso di violazioni ripetute, nonché pagamenti periodici fino al 5% del fatturato totale giornaliero mondiale dell’azienda”.

Obblighi per un’adeguata compliance al DSA, entro il 17 febbraio 2024

In riferimento al DSA, i principali obblighi dei soggetti coinvolti, tra cui gli ISP, includono:

• specificare chiaramente le condizioni del servizio e i requisiti correlati;
• fornire dettagli chiari riguardo la moderazione dei contenuti e l'impiego di algoritmi per i sistemi di consigliazione dei contenuti, i quali potrebbero comunque essere contestati dagli utenti;
• adottare chiarezza nei sistemi di raccomandazione e nelle pubblicità online rivolte agli utenti;
• non usare annunci pubblicitari mirati ai minori o basati su informazioni sensibili degli utenti;
• non ricorrere a metodi ingannevoli volti a manipolare le decisioni degli utenti, inclusi i cosiddetti "dark pattern".
• collaborare con le Autorità nazionali quando richiesto;
• denunciare i reati;
• creare un sistema per gestire reclami, appelli e per la risoluzione delle controversie al di fuori del contesto giudiziario;
• prendere provvedimenti contro le denunce e le duplicazioni abusive;
• verificare le qualifiche dei fornitori esterni, in base al principio del "conosci il tuo cliente d'affari" (KYBC), anche mediante verifiche casuali.

Per completezza, bisogna precisare che sono esentati dai nuovi doveri quei fornitori che offrono servizi di "mere conduit", ovvero di trasporto semplice, caching e hosting.

Obblighi per un’adeguata compliance al DORA, entro il 17 gennaio 2025

Riguardo al DORA, adeguarsi praticamente significa:

• Attuare vari processi con impatti significativi sull'organizzazione;
• Modificare politiche, procedure, ecc. per soddisfare i nuovi requisiti e conseguentemente aggiornare i     processi da seguire in base alle norme correnti;
• Identificare infrastrutture o applicazioni, valutazione o identificazione delle misure di sicurezza     tecnica e organizzativa da attuare, adattando le procedure e, se necessario, redigendo nuove procedure.
• elaborare meccanismi di supervisione da sorvegliare regolarmente.

Inoltre, le organizzazioni saranno tenute ad applicare la governance ICT, nel senso che si dovrà mirare ad un allineamento ottimale, o più precisamente, migliorabile tra le strategie di gestione dei rischi ICT; il Risk Management dovrà allineare le norme per la gestione del rischio ICT grazie a:

• un insieme di precauzioni e precauzioni preventive,
• al rilevamento di minacce,
• alla gestione degli incidenti,
• nella realizzazione di strategie per la continuità operativa e piani di recupero in caso di calamità.

Inoltre, le Organizzazioni devono organizzare adeguatamente la gestione degli incidenti, stabilendo obblighi specifici, mettendo in atto un sistema di mappatura per non solo categorizzare i diversi incidenti, ma anche per indicare i limiti di pertinenza, come stabilito dal Regolamento.

Tutto questo è possibile grazie a periodiche verifiche di resilienza, per determinare "il livello di maturità, identificare eventuali aree di debolezza e stabilire possibili soluzioni correttive".

Ma c’è di più.

Le diverse entità coinvolte hanno il dovere di assicurare l'adeguatezza con le regole pertinenti alla supervisione dei pericoli ICT derivati dalle Terze Parti, richiedendo disincronizzare gli aspetti chiave del servizio in ogni fase contrattuale, dalla firma all'attuazione e conclusione.

Infine, è previsto lo scambio di informazioni tra le diverse organizzazioni coinvolte, nel rispetto del DORA, attraverso accordi quadro.

Nel concreto, le azioni essenziali sono:

• un'analisi delle lacune del framework di gestione del rischio ICT;
• una rielaborazione del rapporto sugli incidenti;
• una valutazione dei fornitori critici attraverso la rinegoziazione dei contratti firmati con loro.

È necessaria una precisazione riguardo ai fornitori cd critici. Naturalmente, non tutti i fornitori sono critici. Alcuni sono considerati tali solo dopo averli valutato in termini di "criticità". Perché questo possa accadere, è necessario mappare i contratti, valutare la criticità rispetto all'operatività dell'attività, riesaminare e documentare le vulnerabilità, per consentire la pianificazione di strategie appropriate per mitigare il rischio.

Da questo punto, è indispensabile menzionare le misure di sicurezza richieste dal DORA e rivolte verso la gestione degli eventi informatici, utilizzando un approccio basato sul NIST Cybersecurity Framework a cui si fa riferimento.

Conclusioni

Alla fine di questo ampio percorso, crediamo di aver creato una rappresentazione abbastanza ampia e complessa, dove abbiamo preferito concentrarci sugli aspetti e le implicazioni più rilevanti, anche quelli normativi, legati al campo dei servizi digitali o al settore ICT. Ovviamente, lo scenario delineato è piuttosto sofisticato; per le aziende che operano in questo campo è fondamentale adattarsi passo dopo passo, purché rispettino le norme di legge.

‍

Per approfondimenti o eventuali dubbi su come queste nuove direttive influenzeranno le operazioni aziendali e le migliori prassi per assicurare la conformità, i nostri esperti sono a vostra disposizione. Contattaci e saremo lieti di aiutarti!