In ragione delle attività che svolgono, le quali presuppongono la gestione e l’analisi di un grande quantitativo di informazioni, gli enti di ricerca non possono prescindere dal porre al centro il tema della sicurezza informatica, a tutela della mole di dati che conservano e processano.
Il tema assume maggior rilievo se consideriamo come spesso tali enti si trovano nella condizione di dover gestire dati anche di natura sensibile, quali ad esempio informazioni su progetti scientifici, dati sperimentali, dati genetici o afferenti alla salute. Sotto il profilo normativo, l’entrata in vigore della normativa europea in materia di protezione dei dati personali (Regolamento (UE) 2016/679, anche noto come GDPR) e della direttiva NIS 2 (direttiva (UE) 2022/2555, recepita nel nostro ordinamento con il D. Lgs. 138/2024) costituiscono un importante punto di svolta, imponendo agli enti di ricerca il rispetto di specifici obblighi, nonché una corretta cultura della cibersicurezza e della tutela della riservatezza delle informazioni.
Indice degli argomenti
Profilo qualitativo delle informazioni conservate dagli enti di ricerca
Come accennato, oltre al profilo quantitativo delle informazioni conservate dagli enti di ricerca, specifico rilievo assume quello qualitativo. Occorre considerare come spesso tali organizzazioni, in base all’attività di ricerca svolta, si trovano nella condizione di raccogliere e processare dati non solo di natura “personale” (ossia “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, secondo il disposto dell’art. 4, punto 1, GDPR), ma per di più dati personali “particolari” ex art. 9 GDPR, ossia – tra gli altri – dati genetici; dati biometrici intesi a identificare in modo univoco una persona fisica; dati relativi alla salute.
Appare chiaro come rispetto a tale tipologia di informazioni il livello di attenzione e di tutela offerto dalle misure di sicurezza implementate dall’ente deve essere più che mai elevato e rigoroso, in modo da garantire i soggetti a cui tali informazioni sono riferite o riferibili.
L’applicazione della direttiva NIS 2 agli enti di ricerca
La direttiva Network and Information Security (NIS), giunta alla sua seconda versione, si pone come obiettivo quello di rafforzare il livello di cibersicurezza a livello europeo nei settori maggiormente critici. Rispetto alla direttiva che è andata a sostituire, la NIS 2 ha ampliato tanto il novero dei soggetti coinvolti, quanto la portata degli obblighi di sicurezza.
Per quanto riguarda il primo, prendendo in esame il decreto legislativo con cui la direttiva è stata recepita nel nostro Paese (D. Lgs. 138/2024), l’articolo 3 circoscrive[1] l’ambito di applicazione ai soggetti pubblici e privati compresi negli elenchi di cui agli allegati I, II (ovvero i settori ritenuti, rispettivamente, altamente critici e critici) III e IV (ovvero, rispettivamente, le categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetto a cui si applica il decreto).
Tra i soggetti compresi negli elenchi, figurano anche coloro che “svolgono attività di ricerca e sviluppo relative ai medicinali” (All. I.5), così come “organizzazioni di ricerca” (All. II.7) o “Enti e Istituzioni di ricerca” (All. III.d).5).
Con riferimento ai principali obblighi in tema di sicurezza si richiamano, in sintesi:
- L’attività di preliminare valutazione delle criticità e vulnerabilità, con mappatura delle informazioni e dei potenziali impatti su quest’ultime;
- L’implementazione di misure tecniche (ad esempio cifratura dei dati, sistema di rilevamento delle intrusioni, etc.) e organizzative di sicurezza (ad esempio il controllo degli accessi, attività formativa, etc.);
- La previsione di piani di risposta agli incidenti e relative procedure di notificazione;
- La corretta valutazione dei fornitori e degli strumenti utilizzati da terze parti, al fine di garantire standard di sicurezza compatibili con la normativa.
Protezione dei dati personali, anche “particolari”
Se quanto visto finora con riferimento alla NIS 2 e, dunque, alla sicurezza e resilienza dei sistemi informatici, ha a oggetto l’intero insieme dei dati raccolti e conservati dagli enti di ricerca, l’altra normativa richiamata, ovvero quella del GDPR (nonché del nostro Codice privacy, D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018), ha come obiettivo la protezione non di tutti i dati, bensì trova applicazione con riferimento ai dati “personali” (che, come detto, sono da intendere come qualsiasi informazione afferente alla persona fisica identificata o identificabile).
Invero, nel caso di enti di ricerca che, in ragione delle attività che svolgono, si trovano a trattare “dati particolari” ex art. 9 GDPR (pensiamo, ad esempio, all’ambito medico o della genomica) occorre considerare come le esigenze di protezione si fanno ancora più stringenti[2], dato che le informazioni in questo caso sono sensibili e afferiscono alla sfera più intima dei soggetti.
Un’attenzione particolare va riservata all’implementazione di adeguate misure di sicurezza tecniche e organizzative, così richiesto ex art. 32 GDPR, nonché all’implementazione di una procedura che – in caso di ipotesi di violazioni dei dati o incidenti informatici (data breach) – consenta di svolgere efficacemente l’attività di notifica all’Autorità Garante privacy e la comunicazione agli interessati nei tempi e nei casi stabiliti, rispettivamente, ex artt. 33 e 34 GDPR. Parimenti, appare fondamentale lo svolgimento di una valutazione d’impatto (cfr. art. 35, comma 1 e comma 3, lett. b), GDPR, nonché l’Allegato 1 al provvedimento n. 467 del Garante privacy dell’11 ottobre 2018) e la nomina di un Data Protection Officer (DPO) alla luce dell’art. 37 GDPR.
Le principali sfide per gli enti di ricerca
Appare chiaro come il rispetto delle due normative deve avvenire in maniera sinergica, al fine di garantire simultaneamente il doppio livello di tutela offerto: sicurezza delle informazioni e resilienza dei sistemi da un lato, tutela della riservatezza e protezione dei dati personali dall’altro.
Gli enti sono quindi chiamati allo sviluppo responsabile di politiche integrate di data governance, in grado di garantire la sicurezza, la tracciabilità e la riservatezza delle informazioni raccolte e conservate. Ciò, in un percorso a ostacoli tra i quali: le risorse limitate che talune organizzazioni hanno a disposizione, una sovrapposizione tra normative che, talvolta, può generare incertezza interpretativa, nonché la capacità di rispondere a minacce sempre più evolute e mutevoli.
Risultano dunque fondamentali il corretto coordinamento tra le figure responsabili nominate (CISO, DPO, etc.) e, prima ancora, un rispetto effettivo dei principi di privacy by design (cfr. art. 25 GDPR) e security by design.
Gli obblighi
Gli obblighi imposti dalla direttiva NIS 2 e dal regolamento europeo privacy rappresentano senz’altro una sfida per gli enti di ricerca, ma al contempo anche un’opportunità, in quanto l’approccio integrato alla sicurezza dei sistemi e alla protezione dei dati personali – tanto più se “particolari” – favorisce il rafforzamento della credibilità e l’efficacia dell’attività di ricerca svolta, tutelandone il valore e proteggendo al contempo il patrimonio informativo: ciò a vantaggio non solo degli interessati[3], ma dell’intera comunità, dato che la direttiva NIS 2 ha incluso esplicitamente gli enti di ricerca tra i soggetti chiave per la sicurezza cibernetica collettiva.
Note
[1] Ai fini della definizione dell’ambito di applicazione del decreto, cfr. anche con quanto stabilito dall’art. 3, secondo comma.
[2] Cfr., ad esempio, art. 100 Codice privacy.
[3] Con “interessato” ci si riferisce alla persona fisica a cui il dato fa riferimento (cfr. art. 4, punto 1, GDPR).
