EU Information Security Framework

Spunti di Riflessione

EU Information Security Framework

Osservazioni in merito alla nozione di stato dell’arte nell’ambito delle norme di disciplina della sicurezza delle informazioni e dei dati personali.

Scopo di questa breve trattazione, relativa all’approfondimento di alcune tematiche di specifico interesse giuridico, riferite all’ambito, più vasto, della sicurezza delle informazioni (che comprende anche, dal mio punto di vista, la sicurezza dei dati personali, non essendo questi ultimi, che specifiche categorie di informazioni), è quello di illustrare, in modo sintetico, in che modo, le attività del legislatore dell’Unione, oltre che del legislatore nazionale, possano avere, ed in effetti abbiano, nel contesto del fenomeno della digitalizzazione dei beni e dei rapporti, che caratterizza, il nostro evo contemporaneo, impatti significativi, dirimenti, in alcuni casi, sulle scelte architetturali, in materia di protezione dei diritti fondamentali, da una parte, e sulla stessa libera e pacifica esistenza delle istituzioni civili, dall’altra.

Il lungo impegno legislativo, portato a termine, in questo periodo, da parte delle istituzioni dell’Unione Europea, ha avuto, secondo chi scrive, il duplice merito, da un lato, con le norme in materia di protezione dei dati personali, di avere aggiornato con le moderne dinamiche relazionali e tecnologiche, l’insieme dei diritti riconosciuti alle persone umane in relazione al trattamento dei propri dati e, dall’altro lato, di avere, con la Direttiva NIS, recentemente attuata, innalzato profondamente, almeno da un punto di vista teorico, il livello di sicurezza delle reti e dei sistemi informativi, all’interno del quale sarà dato, ai cittadini dell’Unione, di esprimersi, con fiducia.

Sul punto, tuttavia, sembra utile svolgere alcune considerazioni, in particolare, al fine di tracciare un quadro coerente, per quanto possibile trasversale, di norme applicabili, nell’ordinamento Italiano, al fenomeno della sicurezza delle informazioni, con riferimento alla formulazione letterale impiegata dal legislatore nazionale all’atto della traduzione, nelle norme di diritto interno, delle norme di diritto comunitario, in sede di attuazione o di coordinamento.

Mi riferisco alle previsioni degli articoli 14 e 16 della direttiva NIS avente ad oggetto, come è stato sopra ricordato, la disciplina della sicurezza delle reti e dei servizi di comunicazione all’interno dell’Unione Europea, ed a quelle di cui all’articolo 32 del Regolamento Generale in materia di protezione dei dati personali, che, più nello specifico si occupa di prevedere gli obblighi di protezione imposti sul titolare e sul responsabile del trattamento, al fine della garanzia di riservatezza disponibilità integrità e resilienza dei sistemi e dei servizi attraverso i quali sono effettuate operazioni di trattamento di dati personali.

Le osservazioni che seguono sono da intendersi riferite, ratione temporis, alla bozza di decreto legislativo di coordinamento del diritto interno con le previsioni del citato Regolamento generale in materia di protezione dei dati personali, a tutt’oggi depositata, ma non ancora approvata, nella sua versione definitiva.

La nozione controversa, che necessita, ad avviso di chi scrive, di accurata indagine, al fine della esatta identificazione della sua portata applicativa, deriva, nello specifico, dalla differente traduzione letterale dell’espressione inglese “state of the art” contenuta nelle norme sopra richiamate che, come sappiamo, disciplinano, in modo puntuale e variamente articolato, le modalità attuative degli oneri di sicurezza e protezione imposti sui soggetti che ne sono destinatari.

Per completezza, sembra inoltre appropriato rilevare che, traduzione italianizzata, analoga all’espressione inglese sopra ricordata, è stata effettuata, nel contesto della traduzione, in Italiano, dell’Art. 29 della direttiva UE 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzioni di sanzioni penali, ma non nel relativo decreto legislativo di recepimento che, all’articolo 25, prevede espressamente che si debba, invece, tenere conto delle “cognizioni tecniche disponibili”.

L’approfondimento, appare necessario, oltre che utile, quale esercizio ricognitivo delle attività imposte, in senso lato, per la protezione delle informazioni all’interno delle regole vigenti nel nostro ordinamento giuridico, per individuare nel concreto delle attività quotidiane dei soggetti destinatari delle norme in parola, modalità applicative nelle prescrizioni generali ed astratte, per definizione, contenute nelle norme citate.

In tutte e tre le norme, nel testo in inglese, il parametro dello stato dell’arte (state of the art), è indicato tra quelli cui il destinatario deve attenersi nella pianificazione, organizzativa e tecnica, funzionale all’assolvimento degli obblighi imposti dalle rispettive prescrizioni assistite dalle corrispondenti sanzioni.

Letteralmente.

Il Regolamento generale in materia di protezione dei dati personali, prevede all’articolo 32, del testo inglese, dal titolo, Security of processing, che:“Taking into account the state of the art (…) the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate (…)”

La Direttiva NIS, all’articolo 14, dal titolo, Security requirements and incident notification, prevede che:“Member states shall ensure that operators of essential services to take appropriate and proportionate technical and organisational measures (…). Having regard to the state-of-the-art does measures shall ensure a level of security of network and information systems (…)”.

La Direttiva 680, all’art. 29, dal titolo Security of Processing, prevede che:“Member States shall provide for the controller and the processor, taking into account the state of the art”;

Ciò che, invero, desta perplessità, e che potrebbe destare, in sede applicativa, non poche difficoltà, agli interpreti, è il fatto che, in Italiano, l’espressione ricordata sia stata resa, all’atto della traduzione, diversamente nei differenti contesti: nella traduzione del regolamento generale (GDPR) la locuzione è stata semplicemente italianizzata con la corrispondente “stato dell’arte”, nella traduzione della direttiva NIS, invece, è stata recepita con la corrispondente traduzione nell’espressione “conoscenze più aggiornate in materia” ed infine, nella Direttiva 680 (JUSTICE), si è impiegata l’espressione stato dell’arte, tradotta, nel decreto di attuazione con le parole “cognizioni tecniche disponibili”.

Ora, pur non potendosi escludere che la diversità nella traduzione sia da attribuire ad una mera e semplice svista, operata dagli uffici preposti, all’atto della redazione del testo, sembra più appropriato, oltre che coerente con gli intenti dichiarati nei considerando, in particolare, della direttiva, ritenere che, tale ricordata diversità sia da ricondurre, in realtà, alla diversa ampiezza e rilevanza degli oggetti giuridici, o per meglio dire, posizioni giuridiche soggettive, protette dalle norme che ci occupano.

Diversamente argomentando, si dovrebbe ritenere la sinonimia o almeno l’equipollenza semantica delle espressioni, conoscenze più aggiornate in materia e cognizioni tecniche disponibili che, invero non appare essere coerente con l’interpretazione letterale che la lingua italiana assegna alle parole utilizzate; per completezza di analisi conclusivamente sembra utile evidenziare come la stessa Accademia della Crusca, nel suo sito internet, con riferimento specifico alla locuzione che ci occupa abbia a riportare ciò che segue: (omissis) proprio l’ampia gamma di sfumature semantiche possibili può aver favorito l’affermazione in italiano di un significato sensibilmente diverso da quello inglese: se infatti in inglese la locuzione vale all’avanguardia, d’avanguardia, in italiano è ormai coerente per indicare il punto in cui sono arrivate le ricerche in una determinata disciplina.

In una prospettiva quindi di momento di ricapitolazione dei dati acquisiti e stabilizzati nei diversi ambiti di ricerca; nella norma (UNI CEI EN 45020:2007) lo stato dell’arte è:“stadio dello sviluppo, raggiunto in un determinato momento, dalle capacità tecniche relative a prodotti, processi e servizi basato su pertinenti scoperte scientifiche, tecnologiche e sperimentali”.

divider