Articoli

Digital Crime: GDPR e Direttiva NIS richiedono interpretazione uniforme e coordinata

Avv. Vincenzo Colarocco

Regolamento europeo n. 679/2016 e Direttiva NIS UE 2016/1148: due provvedimenti differenti per finalità e contenuti (primo è dedicato alla protezione dei dati personali e si rivolge ad un’ampia categoria di soggetti obbligati, mentre la seconda, recepita nel nostro ordinamento mediante il D. Lgs. n. 65/2018, si propone la difesa delle reti e dei sistemi informativi e si rivolge esclusivamente agli operatori di servizi essenziali ed ai fornitori di servizi digitali).

Tali diversità non devono trarre in inganno, in quanto si tratta di provvedimenti strettamente collegati, posto che uno disciplina il “contenuto” e l’altro il “contenitore”: entrambi hanno come fine ultimo la uniformazione delle legislazioni in materia mediante cooperazione tra autorità nazionali. Questa complementarietà è fondamentale che venga assunta dalle imprese al fine di evitare interventi mirati ad assolvere il singolo adempimento.

È, inoltre, da ricordare che il complesso normativo inerente la cyber security si è andato sempre più ad allargare; basti ricordare: il Decreto del Presidente del Consiglio dei Ministri 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica”; il Piano nazionale per la protezione cibernetica e la sicurezza informatica del maggio 2017; la Circolare Agid n.2/2017 sostitutiva della n.1/2017,  recante misure minime di sicurezza ICT per le pubbliche amministrazioni.

A questo complesso di normative va aggiunto il Decreto legislativo 231/2001(Responsabilità amministrativa delle società e degli enti) che prevede la responsabilità delle imprese per reati informatici commessi dai vertici e dipendenti a seguito della legge 48/2008 ( Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno).

Rispetto il suddetto articolato sistema normativo ci si chiede come reagiranno le aziende, auspicando la creazione di modelli ad hoc che pure con le loro differenze consentano di rispondere alle esigenze di privacy e cybersecurity .

Una strategia questa che può essere attuata superando l’idea della distinzione tra esperto in sicurezza e giurista. È infatti necessario che gli informatici tengano presente le norme e che il giurista consideri le nuove tecnologie in modo tale da poter cooperare verso un nuovo sistema regolatorio completo.