VOIP Obblighi di protezione dei dati Il sempre più rapido sviluppo della tecnologia e di nuove soluzioni digitali in un mercato in cui i dati (personali o meno) sono diventati un'importante linfa vitale per l'economia e per la sua crescita hanno reso necessario guardare in modo nuovo alla regolamentazione del loro utilizzo, della loro circolazione e soprattutto della loro sicurezza. La crescita esponenziale della quantità di dati, anche riservati e confidenziali, che sono generati dalle reti e sistemi informativi, e dai servizi digitali ad essi correlati, ha determinato anche il progressivo aumento degli attacchi informatici che diventano sempre più complessi e si avvalgono di un numero sempre maggiore di risorse. I contenuti delle comunicazioni come dati personali E' importante considerare che qualunque sia il mezzo, tecnico o meno (documento scritto, email, telefono o altra soluzione), utilizzato per trasmettere e far circolare le informazioni e i dati personali, la protezione e sicurezza di tali informazioni resta fondamentale. Benché possa apparire non del tutto evidente, sono soggetti allo stesso regime di protezione non solo i dati e le informazioni rappresentate in documenti scritti (file, email) ma anche l'immagine di una persona, la sua voce e i contenuti delle comunicazioni se sono comunque riferibili ad essa o ad altra persona determinata. Facciamo un esempio molto semplice: se parlando al telefono con il responsabile dell'ufficio del personale della mia azienda comunico che un certo impiegato dell'azienda non sarà al lavoro per un certo numero di giorni a causa di una malattia, avrò comunicato un dato personale (l'informazione che l'impiegato è in malattia). Se la rete interna fosse stata oggetto, nel frattempo, di attacco da parte di un hacker che captava tale comunicazione, quel dato (peraltro "sensibile" e quindi soggetto a maggior protezione di altri dati secondo quanto previsto dalla legge) sarebbe stato esposto ad un trattamento illecito. Il fatto che io abbia comunicato questa informazione al telefono e non via email, non esime la società dall'assicurare che quell'informazione non sia impropriamente 1 P a g e
acquisita da terzi. Ed ove l'informazione fosse acquisita illecitamente da terzi, l'azienda rischierebbe di incorrere in sanzioni severe e nell'obbligo di risarcire l'impiegato anche per danni non patrimoniali: il semplice fatto che vi sia stato un trattamento illecito di dati sarebbe infatti elemento sufficiente per far scattare la responsabilità dell'azienda che potrebbe difendersi solo se prova che il danno deriva dal caso fortuito. Il trattamento dei dati personali è infatti equiparato, dall'art. 15 del Codice in materia di protezione dei dati personali D.Lgs. 196/2003, all'esercizio di attività pericolosa (art. 2050 cod. civ.). Ma quali sono questi obblighi e che rischi si possono correre? Obblighi di protezione e sicurezza dei dati L'attuale disciplina nazionale ed europea pone importanti obblighi di protezione dei dati personali non solo su coloro che offrono servizi nel settore digitale, incluso il settore della telefonia e delle comunicazioni elettroniche (anche VOIP), ma anche su coloro che di tali servizi fruiscono per il proprio business. Coloro che trattano dati personali hanno l'obbligo, infatti, applicare specifiche misure di sicurezza per proteggere i dati sia con misure di sicurezza di base ("minime", artt. 33 e ss. e Allegato B, Codice in materia di protezione dei dati personali), che con ogni altra misura di sicurezza che possa rendersi necessaria in base ai rischi cui potrebbero essere esposti i dati (e nel caso di sistemi di comunicazioni, i contenuti stessi delle comunicazioni) a seconda delle operazioni di trattamento effettuate. Spesso nella prassi si trovano realtà aziendali convinte che, una volta applicate le misure minime di sicurezza, non occorra curarsi di altro, dimenticando invece che la legge richiede che si adotti un approccio basato sul rischio associato alla tipologia di dati e di operazioni di trattamento che sono effettuate. Occorre, infatti, valutare nello specifico tutti i possibili rischi ai quali potrebbero essere esposti i dati per "ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta" (art. 31, Codice in materia di protezione dei dati personali). In alcuni casi è lo stesso legislatore o il Garante per la protezione dei dati personali che identifica misure più specifiche da implementare in certi settori particolarmente sensibili ed esposti a rischi maggiori: tra questi, il settore delle comunicazioni, della sanità, i servizi digitali, gli istituti bancari e finanziari che hanno obblighi specifici non solo in relazione ai dati personali ma in generale anche dei dati di tutta la propria clientela (comprese le persone giuridiche), o ancora gli intermediari professionali nei 2 P a g e
servizi di trasmissione delle dichiarazioni telematiche. Tutti questi soggetti, e non solo, sono oggi sempre più esposti agli attacchi informatici. In questi casi potrebbe rendersi necessario applicare anche tecniche di cifratura nella trasmissione dei dati anche e/o segnalare gli incidenti di sicurezza alle autorità (tra cui il Garante) ed eventualmente alle persone a cui si riferiscono i dati. E' il caso ad esempio degli obblighi di sicurezza imposti dalla normativa di settore agli istituti bancari (ad esempio, Circolare 285 del 17 dicembre 2013, Banca d'italia), che impone a tali istituti l'adozione di specifici piani di gestione dei rischi, con un focus specifico sulla sicurezza informatica, e che impone agli stessi obblighi di segnalazione alle autorità di sorveglianza in caso di gravi incidenti di sicurezza. Specifici vincoli in termini di cifratura si rinvengono poi nel settore sanitario dove la "trasmissione" di dati sanitari deve avvenire solo previa cifratura dei dati stessi (Allegato B, Codice in materia di protezione dei dati personali), ma anche nello stesso Codice in materia di protezione dei dati personali che impone alle pubbliche amministrazioni di cifrare i dati sensibili e giudiziari non solo nel contesto di operazioni di trasferimento dei dati, ma anche di dati residenti sui sistemi (art. 22.6, Codice in materia di protezione dei dati personali). Inoltre, quand'anche gli incidenti di sicurezza non dovessero verificarsi in relazione a dati personali ma coinvolgessero informazioni che sono comunque protette, riservate e/o confidenziali, un'azienda deve fare i conti con le possibili responsabilità e obblighi risarcitori che possono derivarle a seguito di un'eventuale divulgazione, anche solo colposa, di tali informazioni che si dovesse verificare in ragione di un accesso abusivo alla rete. Soprattutto in questi casi chi tratta i dati deve mappare con attenzione i rischi che possono derivare dall'utilizzare soluzioni più vulnerabili sul piano della sicurezza rispetto ad un mero archivio fisico o a un server locale, e prevenire - con sistemi adeguati il verificarsi di falle nella sicurezza dei servizi (anche digitali) che si utilizzano. Nuovi obblighi in arrivo Lo scenario è destinato a cambiare a brevissimo poiché, a partire dal 25 maggio 2016, con l'entrata in vigore di una nuova legislazione europea sulla protezione dei dati personali ((Regolamento (EU) 2016/679 - Regolamento Generale sulla Protezione dei Dati) chi tratta dati personali, sia come titolare, ma anche come responsabile del trattamento, sarà tenuto a implementare nuovi e più onerosi obblighi di sicurezza. 3 P a g e
Il Regolamento introduce significativi rafforzamenti degli obblighi di protezione dei dati personali e fa della sicurezza uno dei principali pilastri: se da un lato scomparirà l'elenco delle misure di sicurezza previsto dall'attuale normativa italiana, ci saranno criteri specifici e ben determinati e soprattutto ci sarà l'obbligo del titolare e del responsabile di documentare le loro scelte sulla sicurezza e provare che sono adeguate. Tra e misure menzionate il Regolamento introduce, ad esempio, la cifratura dei dati personali come una delle misure fortemente raccomandate, e in molti casi obbligate (art. 32 del Regolamento), per evitare di incorrere in responsabilità civili e amministrative. Non solo, altri obblighi renderanno estremamente importante valutare anticipatamente i rischi di sicurezza (art. 35, Regolamento) e adottare misure che riducano i rischi di violazione dei dati personali. Il titolare del trattamento dovrà infatti dimostrare, anche attraverso documentazione a supporto, che il trattamento che ad esso fa capo avviene (o è avvenuto) nel rispetto dei principi fondamentali della normativa sulla protezione dei dati personali, inclusa la sicurezza (art. 6.1.f)), Regolamento che recita: "I dati personali sono: [ ] f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ("integrità e riservatezza")). E' il cd. principio di accountability (leggasi "responsabilizzazione"). Tra i principali obblighi non può non citarsi inoltre che con l'entrata in vigore del Regolamento gli obblighi di notifica al Garante degli incidenti di sicurezza e di violazione dei dati (data breach), che nell'attuale normativa italiana sono previsti solo in casi delimitati, si estenderanno a qualunque azienda che venga a conoscenza, direttamente o per il tramite del proprio fornitore, di un incidente di sicurezza e di violazione dei dati di cui è titolare (art. 33, Regolamento). L'esonero da tale obbligo è limitato, ma qui entrano in gioco alcune importanti valutazioni: infatti, se l'azienda ha applicato tecniche di cifratura ai dati che sono stati poi colpiti dalla violazione, non solo gli obblighi di notifica del data breach saranno significativamente ridotti proprio in ragione della minor capacità di pregiudizio che possono avere dei dati cifrati (art. 34.3.a), Regolamento) e, in talune circostanze, arrivare ad evitare le pesanti conseguenze sanzionatorie che il nuovo Regolamento porta invece con sé. Il Regolamento ha infatti notevolmente aumentato il livello di severità delle sanzioni che potranno arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale (art. 83, Regolamento). Non può infine non farsi menzione del nuovo quadro giuridico europeo in tema di e- Privacy e cybersecurity che entrerà in vigore ragionevolmente in concomitanza con il 4 P a g e
Regolamento e che attesta il forte impegno dell'unione Europa nel garantire la sicurezza dei dati e delle infrastrutture per combattere gli attacchi informatici e favorire il mercato digitale. La revisione del quadro relativo alla sicurezza dei sistemi informativi e delle infrastrutture critiche nazionali (ai quali dovranno conformarsi gli operatori di alcuni settori chiave, tra cui, oltre ai servizi di comunicazione elettronica, i servizi bancari e quelli finanziari, nonché gli operatori del settore sanitario) introdurrà, infatti, un'ulteriore area di attenzione e di gestione dei rischi di sicurezza per gli operatori dei settori interessati, tra cui obblighi di pronta segnalazione alle autorità degli incidenti di sicurezza alle infrastrutture in aggiunta a quelli previsti dal Regolamento (direttiva sulla cybersecurity che dovrebbe essere approvata nel corso dell'estate 2016). Per un quadro più completo delle principali novità introdotte dal Regolamento si rinvia all'analisi disponibile all'indirizzo: http://www.twobirds.com/en/hottopics/general-data-protection-regulation (documento in lingua inglese). Prevenzione e analisi dei rischi Ancorché vi sia tempo sino al 25 maggio 2018 per adeguarsi appieno alla normativa, è essenziale agire quanto prima per identificare le aree di rischio e intervenire adottando e applicando tutte le misure idonee per prevenire i rischi di violazione della sicurezza. Nell'esempio fatto all'inizio, si può infatti osservare che se l'azienda non dimostra, con i fatti e i documenti, di aver adottato tutte le misure di sicurezza necessarie per evitare il danno, il giudice al quale l'impiegato abbia eventualmente presentato una richiesta di risarcimento del danno potrebbe condannare la mia azienda a risarcire l'impiegato del danno non patrimoniale. Non solo, ma se la violazione fosse portata all'attenzione del Garante, quest'ultimo potrebbe a sua volta sanzionare l'azienda se non ha adottato le misure di sicurezza previste dalla legge. Un sistema adeguato di prevenzione e gestione dei rischi di sicurezza adottando e implementando adeguati sistemi di sicurezza dei propri apparati, anche in relazione ai servizi VOIP di cui un'azienda si avvale, consente pertanto di limitare eventuali responsabilità, in termini di risarcimento del danno (art. 15, Codice in materia di protezione dei dati personali, art. 82, Regolamento) di cui l'azienda sarebbe altrimenti chiamata a rispondere in caso di violazione delle norme in materia di protezione dei dati personali. Alla luce del nuovo quadro normativo diventa infatti ancor più importante per un'azienda essere in grado di provare di aver adottato adeguate misure di sicurezza assolvendo agli obblighi di legge sopra indicati. 5 P a g e
Solo in questo modo l'azienda sarebbe esonerata da eventuali responsabilità civili per i danni che potrebbero derivare da un'eventuale violazione di sicurezza sui sistemi di comunicazione VOIP, oltre che dalle responsabilità penali ed amministrative ad essa correlate. *********************************** Bird & Bird è una law firm internazionale, fondata a Londra nel 1846, che associa esperienza legale d avanguardia a un approfondita conoscenza delle specifiche aree di attività. Abbiamo 28 sedi in Europa, Medio Oriente, Asia e Australia. Assistiamo i nostri clienti in materia di privacy e protezione dei dati, diritto delle tecnologie, diritto societario e commerciale, bancario, finanziario e assicurativo, tutela della proprietà intellettuale, diritto del lavoro, antitrust, fiscale, contenzioso, real estate, restructuring & insolvency. twobirds.com Aarhus & Abu Dhabi & Beijing & Bratislava & Brussels & Budapest & Copenhagen & Dubai & Dusseldorf & Frankfurt & The Hague & Hamburg & Helsinki & Hong Kong & London & Luxembourg & Lyon & Madrid & Milan & Munich & Paris & Prague & Rome & Shanghai & Singapore & Stockholm & Sydney & Warsaw Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address. 6 P a g e 1