Del Dott. Enrico Ferrante – Data Protection Officer
Nel panorama normativo europeo, la sicurezza informatica e la protezione dei dati personali rappresentano due facce della stessa medaglia. È chiaro, infatti, a tutti i professionisti del settore, che con l’introduzione della Direttiva NIS 2 – recepita in Italia con il Decreto Legislativo n. 138/2024 – si è consolidato un sistema integrato che richiede alle organizzazioni una rimodulazione strategica delle proprie misure di protezione. Non si tratta più di adempimenti separati, ma di un approccio unitario ed integrato dove cybersecurity e privacy si rafforzano reciprocamente.

L’importanza delle misure informatiche nella protezione dei dati personali

La sicurezza informatica costituisce il fondamento imprescindibile per garantire una tutela effettiva dei dati personali e senza adeguate misure tecniche e organizzative, infatti, i principi sanciti dal GDPR rischiano di rimanere meri enunciati teorici. Non va mai dimenticato che l’articolo 32 del Regolamento prevede che il titolare e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, incluse la pseudonimizzazione, la cifratura, la capacità di assicurare la riservatezza e l’integrità dei sistemi.

Ebene, è indubbio che la protezione dei dati personali non può prescindere da un’infrastruttura informatica resiliente e, in tale contesto, backup regolari, procedure di disaster recovery, controlli degli accessi, crittografia delle comunicazioni e monitoraggio costante delle vulnerabilità, rappresentano strumenti essenziali per dimostrare la il “famoso” principio dell’accountability. Tali misure, infatti, non solo riducono il rischio di violazioni, ma permettono alle organizzazioni di reagire tempestivamente agli incidenti, limitando i danni per gli interessati.

Va evidenziato, inoltre, che nel contesto attuale, caratterizzato da minacce informatiche sempre più sofisticate, la preventive best practices assumono un’importanza cruciale. Non basta, infatti, rispondere agli attacchi ma occorre anticiparli attraverso periodiche valutazioni del rischio, aggiornamenti costanti dei sistemi e formazione continua del personale che tratta i dati personali. La sicurezza informatica diventa così un investimento strategico che tutela contemporaneamente i diritti degli interessati e la continuità operativa dell’organizzazione.

Il ruolo del DPO nella valutazione delle misure informatiche

Ed e proprio in tali contesti che il Data Protection Officer riveste un ruolo centrale nel garantire che le misure di sicurezza implementate siano effettivamente adeguate rispetto ai rischi dei trattamenti effettuati. Tra i principali compiti del DPO, previsti dall’articolo 39 del GDPR, figura, infatti, quello di sorvegliare l’osservanza del Regolamento. Pertanto, egli non opera come tecnico informatico, ma come figura di raccordo tra le esigenze legali di protezione dei dati e le soluzioni tecnologiche-informatiche adottate. Deve verificare che le misure implementate siano coerenti con i principi di privacy by design e privacy by default, assicurando che la protezione dei dati sia integrata sin dalla progettazione dei sistemi e che, per impostazione predefinita, vengano trattati solo i dati necessari.

Pertanto, la valutazione condotta dal DPO non si limita all’aspetto tecnologico, ma comprende l’intera architettura del trattamento. Ciò include l’analisi dei flussi informativi, la verifica delle nomine a responsabile del trattamento, il controllo delle clausole contrattuali con fornitori terzi e la revisione delle procedure interne di gestione degli incidenti.

GDPR e NIS 2: differenze e punti di contatto

Sebbene perseguano obiettivi distinti, GDPR e NIS 2 condividono un terreno comune: la protezione dell’ambiente digitale attraverso misure di sicurezza concrete. In particolare, da un lato il GDPR si concentra sulla tutela dei diritti fondamentali delle persone fisiche in relazione al trattamento dei loro dati personali, dall’altro la NIS 2 mira a garantire un elevato livello di cybersicurezza per le reti e i sistemi informativi, con particolare attenzione ai soggetti essenziali e importanti operanti in settori critici.

Una differenza sostanziale riguarda l’ambito di applicazione: il GDPR si applica a qualsiasi organizzazione che tratta dati personali, indipendentemente dal settore o dalla dimensione; la NIS 2, invece, individua specifiche categorie di soggetti sulla base della loro rilevanza per l’economia e la società, distinguendo tra entità essenziali e importanti e imponendo obblighi differenziati.

Sul versante degli incidenti di sicurezza, poi, entrambe le normative prevedono obblighi di notifica, ma con tempistiche e destinatari diversi. Il GDPR richiede la notifica al Garante entro 72 ore dalla conoscenza della violazione di dati personali, quando questa possa comportare un rischio per i diritti e le libertà degli interessati. La NIS 2, invece, prevede un sistema leggermente più articolato: una prima comunicazione entro 24 ore, una notifica completa entro 72 ore e una relazione finale entro un mese, indirizzata al CSIRT e all’autorità competente.

Un importante punto di contatto riguarda la gestione dei rischi. Entrambe le normative, infatti, richiedono l’adozione di misure tecniche e organizzative proporzionate ai rischi individuati. Se il GDPR enfatizza la protezione dei dati personali attraverso valutazioni d’impatto (DPIA), la NIS 2 introduce requisiti più stringenti in termini di resilienza operativa, imponendo piani di continuità aziendale, gestione delle crisi e test periodici della sicurezza.

Il ruolo del DPO negli adempimenti previsti dalla NIS 2

La questione se il DPO debba assumere un ruolo attivo nell’ambito della NIS 2 è, ad oggi, oggetto di dibattito. Formalmente, infatti, la Direttiva non attribuisce al DPO compiti specifici, concentrandosi piuttosto sulla responsabilità degli organi di gestione e sui profili tecnici di cybersecurity. Tuttavia, la stretta interconnessione tra protezione dei dati e sicurezza informatica suggerisce che il DPO possa e debba svolgere, certamente, una funzione di coordinamento. ​

Più nello specifico, compete sicuramente al DPO facilitare l’integrazione tra i requisiti del GDPR e quelli della NIS 2, garantendo che le misure di sicurezza adottate per conformarsi alla Direttiva siano coerenti con i principi di protezione dei dati. Ad esempio, i piani di continuità operativa previsti dalla NIS 2 devono includere procedure specifiche per la gestione delle violazioni di dati personali, evitando sovrapposizioni o contraddizioni tra i due sistemi normativi.

Inoltre, il DPO può supportare l’organizzazione nella gestione coordinata degli incidenti: quando un evento di sicurezza comporta sia una violazione dei dati personali sia un incidente rilevante ai sensi della NIS 2, è necessario attivare simultaneamente le procedure di notifica previste da entrambe le normative. È indubbio quindi, che in tali ipotesi, Il DPO – grazie alla sua conoscenza dei requisiti del GDPR – può collaborare con i responsabili della cybersecurity per assicurare che le comunicazioni dirette alle Autorità siano complete, tempestive e coerenti.

Infine, il DPO può assumere una funzione consultiva nelle relazioni con fornitori e partner. Ad esempio, la revisione contrattuale richiesta dalla NIS 2 per includere clausole sulla sicurezza della supply chain deve essere armonizzata con gli obblighi previsti dall’articolo 28 del GDPR per la nomina dei responsabili del trattamento. In tale contesto, il DPO potrà essere chiamato a verificare che i contratti garantiscano un livello adeguato di protezione sia per la resilienza operativa sia per i dati personali.

In conclusione, l’integrazione tra il GDPR e la NIS 2 segna un’evoluzione nella governance della sicurezza digitale e le organizzazioni sono chiamate ad abbandonare logiche a compartimenti stagni, adottando al contrario, un approccio sistemico dove privacy e cybersecurity si rafforzano reciprocamente. Come si è già detto, il DPO, pur non essendo formalmente il responsabile dell’implementazione della NIS 2, può svolgere un ruolo strategico nel garantire coerenza e sinergia tra le due normative, contribuendo a costruire un ambiente digitale più sicuro, resiliente e rispettoso dei diritti fondamentali.