ARMONIZZAZIONE AL QUADRO NORMATIVO EUROPEO/PARTE 1

Nella giornata di ieri, 16 maggio 2018, è stato pubblicato, sul portale ufficiale del governo il comunicato stampa del Consiglio dei ministri n.84, che riguarda, tra le altre cose, l’attuazione con decreto:

– della direttiva (UE) 2016/1148 (cosiddetta direttiva NIS – Network and Information Security) del Parlamento europeo e del Consiglio, del 6 luglio 2016, riguardante la definizione di misure per il raggiungimento di un livello comune ed elevato di sicurezza delle reti e dei sistemi informativi nell’Unione;

– della direttiva (UE) 2016/681 (direttiva PNR) del Parlamento europeo e del Consiglio, del 27 aprile 2016, incentrata sull’utilizzo dei dati del codice di prenotazione (PNR) per finalità di prevenzione, accertamento, indagine e azione penale in merito ai reati di terrorismo e ai reati gravi e che disciplina, altresì, l’obbligo per i vettori di comunicare i dati relativi alle persone trasportate, in accordo con quanto stabilito dalla direttiva 2004/82/CE del Consiglio, recante data 29 aprile 2004;

– della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio datata 27 aprile 2016, riguardante la protezione delle persone fisiche in merito al trattamento dei dati personali effettuati dalle Autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali e afferente altresì alla libera circolazione di tali dati. È bene specificare che questa direttiva, abroga la decisione quadro 2008/977/GAI del Consiglio;

Scendendo nel dettaglio dei singoli provvedimenti si nota quindi una articolata opera di armonizzazione che vale la pena di essere indagata più nel dettaglio.

Partiamo con la direttiva NIS, essa, per la prima volta offre una disciplina completa e organica, in tema di cyber security, al fine di predisporre un modello comune europeo di gestione delle criticità, ponendo come principi fondamentali la resilienza e la cooperazione a livello europeo.

Gli obiettivi perseguiti dal provvedimento sono molto chiari:

– “educare” gli operatori economici, con particolare riferimento a coloro che sono impegnati nell’erogazione di servizi essenziali alla promozione di attività economiche e sociali e i fornitori di servizi digitali ad una adeguata gestione del rischio, promuovendo la segnalazione degli incidenti;

– incrementare le misure volte a garantire la cybersecurity a livello nazionale;

– incentivare la cooperazione sia all’interno dei singoli Stati, sia a livello europeo.

Il decreto di attuazione, predispone inoltre delle misure atte alla riduzione del rischio e alla limitazione delle conseguenze relative ad eventuali incidenti informatici, stabilendo un obbligo di notifica qualora venga messa a rischio la fornitura di servizi. Vengono inoltre individuate le autorità competenti NIS specificandone le mansioni ed il CSIRT nazionale (Computer Security Incident Response Team) responsabile della prevenzione di incidenti informatici e delle attività di tamponamento conseguenti agli stessi.

Passiamo alla direttiva (UE) 2016/681 (direttiva PNR), essa, si pone nell’ottica di un sensibile miglioramento della sicurezza in ambito europeo, attraverso specifici controlli nell’ambito dei voli sia interni che esterni all’Unione Europea. Nello specifico, il decreto attuativo dispone particolari obblighi nella trasmissione all’Unità d’informazione sui passeggeri (UIP) di determinati dati, al fine di individuare, grazie al codice di prenotazione (PNR) coloro che risultino implicati in reati afferenti il terrorismo o ad altri reati gravi.

Al fine di privilegiare una semplificazione della materia, il provvedimento attuativo, assorbe la normativa di attuazione della direttiva API (2004/82/CE) che disciplina l’obbligo di trasmissione delle informazioni.

Il decreto, inoltre, definisce nello specifico le finalità che giustificano il trattamento dei dati PNR e i dati API, il funzionamento e le modalità operative del sistema informativo e le corrette procedure per la conservazione dei dati.

In conclusione, offriamo una breve sintesi dei risvolti conseguenti al recepimento della direttiva (UE) 2016/680.

Il decreto attuativo, disciplina, il trattamento dei dati personali da parte dell’autorità giudiziaria e delle forze di polizia, volto alla prevenzione e repressione dei reati, all’esecuzione di sanzioni penali e alla preservazione della pubblica sicurezza anche attraverso misure preventive.

La normativa, risulta finalizzata alla creazione di un vero e proprio statuto, volto alla definizione delle corrette modalità di trattamento dei dati personali in ambito penale. Il testo, caratterizzato da una evidente unitarietà, contiene principi generali e disposizioni specifiche per i vari settori in cui risulta necessario procedere al trattamento dei dati personali. La completezza della normativa, è tale da superare e sostituire diverse diposizioni presenti nel codice sul trattamento dei dati personali, soprattutto con riguardo alle parti del D.lgs. 196/2003 dedicate a settori quali, quello giudiziario e quello relativo ai trattamenti effettuati dalle forze di polizia.

Sono significative, in questo contesto le previsioni inerenti:

– alla durata della conservazione dei dati che non può protrarsi oltre al periodo necessario al perseguimento delle finalità prefissate;

– alla necessità di un controllo periodico dei dati raccolti, al fine di validarne la perdurante necessità di conservazione o valutarne l’eventuale cancellazione o anonimizzazione;

– alla differenziazione e categorizzazione dei dati sulla base dell’attuale situazione processuale dell’interessato;

– all’obbligo di nomina per l’autorità giudiziaria di un DPO, in considerazione del valido aiuto che questa figura può fornire nel trattamento di categorie di dati particolarmente delicati da gestire;

– ai trasferimenti di dati personali verso paesi terzi, che viene consentito solo verso autorità competenti e al fine di salvaguardare la pubblica sicurezza oggetto della direttiva. Sono inoltre previste delle specifiche condizioni propedeutiche a tale trasferimento, ad esempio risulta necessaria la presenza di una decisione di adeguatezza da parte della Commissione dell’Unione Europea, o in difetto di quest’ultima, la presenza di adeguate garanzie;

– all’individuazione del Garante nazionale quale soggetto responsabile della vigilanza sul rispetto dei provvedimenti di recepimento della direttiva, escludendone tuttavia la possibilità di azione in merito ai trattamenti svolti dall’autorità giudiziaria nell’esecuzione delle sue funzioni giurisdizionali, incluse quelle del Pubblico ministero.

Il decreto risulta inoltre dotato di un apparato sanzionatorio, le cui sanzioni ammontano nei casi più gravi fino a 150mila euro, introducendo altresì sanzioni di natura penale per trattamenti basati su finalità illegittime. Una volta concluso l’iter di recepimento di queste norme europee, non ci resta che attendere la conclusione anche dell’iter di approvazione del decreto di adeguamento al GDPR che, con molta probabilità sarà successivo al 25 maggio, data in cui il Regolamento acquisirà la piena applicabilità

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

ARMONIZZAZIONE AL QUADRO NORMATIVO EUROPEO/PARTE 1

Vengo dopo il DIGEAT – L’utilizzo corretto degli strumenti IT e di IA nelle organizzazioni pubbliche e private

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco