Eidas e protezione dati, le regole convergono: ecco i vantaggi per le aziende
Il Regolamento contiene alcuni evidenti simmetrie con la disciplina del RGPD (Regolamento Generale sulla Protezione dei Dati) che lasciano presupporre un orientamento univoco adottato dal legislatore europeo nell’affrontare determinate tematiche, in particolare sui temi legati alla sicurezza (informatica) e alla gestione degli incidenti/violazioni. Ciò potrebbe costituire un aspetto importante per gli operatori economici
28 Giugno 2016
Gabriele Faggioli, legale, partner Digital360, Andrea Reghelin, legale, Associate Partner P4I e Guglielmo Troiano, Senior Legal Consultant P4I
Il Regolamento EIDAS (“Electronic Identification Authentication and Signature”), ovvero il Regolamento UE n° 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, entrato in vigore il 17 settembre 2014 (applicabile nelle sue parti operative dal 1 luglio 2016), sostituisce il quadro normativo definito dalla Direttiva Europea 1999/93/EC sulle firme elettroniche e dalle relative leggi nazionali di recepimento. Obiettivo principale del Regolamento EIDAS è la creazione di un sistema di riconoscimento reciproco in tema di identificazione elettronica, che consentirà alle imprese la possibilità di operare liberamente su base transfrontaliera, interagendo più facilmente con le Autorità pubbliche. Inoltre, il Regolamento EIDAS è finalizzato ad incentivare la nascita di un quadro tecnico – giuridico unitario a livello europeo per quanto attiene ai servizi fiduciari (Trusted Service), ovvero una serie di servizi elettronici normalmente fruibili dietro remunerazione, tra cui, ad esempio, servizi di creazione, verifica e convalida di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, certificati di autenticazione di siti web nonché di conservazione di firme, sigilli o certificati elettronici relativi ai medesimi.
La stessa necessità di creare un quadro giuridico maggiormente armonizzato si è recentemente manifestata rispetto a differenti ambiti normativi, non ultimo quello concernente la protezione dei dati personali. L’attuale direttiva 95/46/CE che disciplina la materia, infatti, non si è rivelata uno strumento capace di garantire la formazione di normative di recepimento nazionali uniformi sui singoli aspetti, circostanza che nel tempo ha creato ostacoli rilevanti nella prestazione di servizi rivolti a più Stati membri. Per questa ragione, lo scorso aprile il legislatore europeo è intervenuto sulla materia della data protection attraverso l’approvazione del Regolamento UE 2016/679 (Regolamento Generale sulla Protezione dei Dati, “RGPD”), che da maggio 2018 sostituirà l’attuale direttiva.
Perché dunque trattare congiuntamente questi due regolamenti all’interno del medesimo contributo? Prima di tutto perché è innegabile l’impatto del RGPD rispetto ai servizi oggetto del Regolamento EIDAS. Il prestatore di servizi di identificazione elettronica e di servizi fiduciari è, senza dubbio, un soggetto che tratta dati personali tanto che lo stesso Regolamento EIDAS più volte esplicitamente si riferisce alla Direttiva 95/46/CE (non potendo ovviamente fare ancora riferimento al RGPD) evidenziando il fatto che debba essere applicato dai suddetti prestatori nel pieno rispetto dei principi relativi alla protezione dei dati personali. Per cui, come tutti i soggetti che trattano dati personali, anche i fornitori di servizi disciplinati dall’EIDAS devono attenersi al rispetto della disciplina in materia di trattamento dati in qualità di, a seconda dei casi, titolare o responsabile del trattamento. A rafforzamento di tale principio l’EIDAS stabilisce che gli organismi di vigilanza dovrebbero cooperare con le autorità di protezione dei dati, ad esempio informandole in merito ai risultati di verifiche di prestatori di servizi fiduciari qualificati, laddove siano state rilevate violazioni delle norme di protezione dei dati personali
Ma vi è di più. Oltre ai riferimenti generici succitati, il Regolamento EIDAS contiene alcuni evidenti simmetrie con la disciplina del RGPD che lasciano presupporre un orientamento univoco adottato dal legislatore europeo nell’affrontare determinate tematiche, in particolare sui temi legati alla sicurezza (informatica) e alla gestione degli incidenti/violazioni. Senza scendere troppo nei particolari, tal simmetrie sono rinvenibili rispetto ai seguenti aspetti:
- misure di sicurezza: il c.1 dell’art. 19 del Regolamento EIDAS ed il c. 1 dell’art. 32 del RGPD entrambi fanno riferimento all’obbligo di adozione di misure tecniche e organizzative “appropriate” (EIDAS) ed “adeguate” (RGPD) per “gestire i rischi legati alla sicurezza dei servizi fiduciari prestati” (EIDAS) e per “garantire un livello di sicurezza adeguato al rischio” con riferimento alla protezione dei dati personali (RGPD);
- notifica di una violazione: il c. 2 dell’art. 19 del Regolamento EIDAS ed il c.1 dell’art. 33 del RGPD entrambi fanno riferimento all’obbligo di notifica all’autorità competente, quindi a “organismo di vigilanza” (EIDAS) ed a “autorità di controllo” (RGPD) delle violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi. La notifica dev’essere effettuata anche alla “persona fisica o giuridica” (EIDAS) e agli “interessati” (RGPD), se per tali soggetti sussistono “effetti negativi” (EIDAS) e un “rischio per i loro diritti e le loro libertà” (RGPD). Sul termine entro il quale la notifica dev’essere effettuata alle autorità competenti l’EIDAS prevede 24 ore mentre il RGPD prevede 72 ore, in entrambi i casi da quando si è venuti a conoscenza della violazione.
Ciò significa, a nostro avviso, che il prestatore di servizi fiduciari potrà adottare soluzioni che gli consentano di adempiere congiuntamente ad entrambi i regolamenti trattando in modo unitario gli aspetti sopra evidenziati. Ciò concretamente potrà significare, per esempio:
- adottare tutte le misure tecniche ed organizzative per garantire un livello di sicurezza appropriato e adeguato di tutti i servizi e prodotti fiduciari impiegati e prestati che trattano dati personali, in particolare nell’ambito dei regimi di identificazione elettronica che richiedono un alto grado di interoperabilità tra i differenti sistemi adottati negli Stati dell’UE;
- implementare un unico processo di gestione degli incidenti informatici al fine di provvedere da un lato alla notifica all’organismo di vigilanza, entro 24 ore, e dall’altro all’autorità di controllo, entro 72, da quando ne è venuto a conoscenza, oltre che informare i soggetti coinvolti (interessati, utenti dei servizi) nei casi previsti.
Ulteriore parallelismo tra i due regolamenti si rinviene in relazione alla pseudononimizzazione.
Il RGPD considera la pseudononimizzazione una misura di sicurezza che riduce i rischi derivanti dal trattamento di dati. Pseudononimizzare vuol dire effettuare un trattamento disgiunto di un set di dati riferiti ad una persona in modo che tali dati non possano più essere attribuiti a quella persona se non ricongiungendoli. Il Regolamento EIDAS tratta la stessa tematica nell’art. 5 che, salvo eccezioni, stabilisce che l’uso di pseudonimi nelle transazioni elettroniche non deve essere vietato dagli Stati membri. Ciò significa che il prestatore di servizi fiduciari deve sempre provvedere ad adottare (anche e soprattutto) la pseudonimizzazione come misura di sicurezza per le transazioni elettroniche.
Da ultimo, ma non meno importante, il richiamo del Regolamento EIDAS al principio di privacy by design, o tutela della vita privata fin dalla progettazione delle attività di trattamento. Esso è riferito, in particolare, al quadro di interoperabilità che deve essere istituito da parte di ciascuno Stato membro in relazione ai regimi nazionali di identificazione elettronica.
Volendo trarre delle conclusioni da quanto precedentemente delineato, sembra emergere, anche se a tal fine sarebbe più cauto attendere il decorrere di un periodo di effettiva applicazione dei due regolamenti (ovviamente per l’RGDP sarà necessario attendere il 2018 ), una tendenza normativa volta a disciplinare in modo coerente e non frammentato singoli aspetti legati alla digitalizzazione, quali la sicurezza informatica e le violazioni che possono ledere l’integrità e la riservatezza di informazioni e servizi. Ciò potrebbe costituire un aspetto importante per gli operatori economici, che potranno affrontare tali tematiche in modo unitario ed integrato, con l’obiettivo di raggiungere i risultati comuni alle diverse disposizioni normative.