Unione Europea
La sicurezza informatica non può essere usata come pretesto per giustificare qualunque tipo di controllo dei dati personali e azioni di sorveglianza illimitata.
Nel parere reso alla Ue in materia di cyber-security, l’EDPS (European Data Protection Supervisor), Garante europeo per la privacy, sottolinea l’importanza che si rispettino i principi di data protection per una politica solida in materia di sicurezza delle reti e dell’informazione.
La strategia Ue, si legge ancora nel parere, non è chiara su come questi principi saranno applicati nella pratica per garantire ancora di più la sicurezza delle persone, dell’industria, dei governi e delle altre organizzazioni.
Peter Hustinx, presidente dell’EDPS ha dichiarato: “Non c’è sicurezza senza privacy; sono lieto di vedere che la strategia della Ue riconosca che non c’è conflitto tra rispetto della vita privata e cyber-security, e che entrambi devono essere principi guida. Tuttavia queste legittime ambizioni non si riflettono nella pratica”.
“Ammettiamo– ha aggiunto – che le questioni di cyber-sicurezza devono essere affrontate a livello internazionale attraverso norme comuni e la cooperazione, ma se la Ue intende cooperare con altri Paesi, tra cui gli Stati Uniti, tutto ciò deve necessariamente passare attraverso la fiducia reciproca e il rispetto dei diritti fondamentali, premesse che al momento sembrano pregiudicate”.
L’obiettivo globale della strategia Ue è di rendere l’uso di internet e di ogni rete e sistema di informazione connesso più sicuro, permettendo alle organizzazione nei paesi Ue di prevenire e reagire ai cyber-attacchi e a interruzioni dei servizi. Lo scopo è di favorire la fiducia delle persone e delle organizzazioni che usano internet.
Nel parere dell’EDPS si legge, però che la Comunicazione della Commissione non tiene sufficientemente in conto il ruolo delle norme sul data protection e le attuali proposte come il progetto di regolamentazione sulla protezione dei dati e il regolamento eTrust.
“Anche se alcune misure per assicurare la cyber-sicurezza possono necessitare il controllo di alcuni dati personali, in particolare gli indirizzi IP per indentificare alcuni individui, la cyber-sicurezza può giocare un ruolo fondamentale per assicurare il rispetto della privacy e dei dati personali disponibili sul web, a condizione però che il trattamento di questi dati avvenga in modo proporzionato, necessario e legale”.
In questo senso, le Autorità nazionali che vigilano sulla privacy possono avere un ruolo determinante per assicurare un appropriato sistema di sicurezza dei dati personali, compreso internet, e nelle reti e sistemi d’informazione, e per sensibilizzare all’applicazione di regole che riguardano persone e organizzazioni nei Paesi Ue.
Tra l’altro, si legge ancora nel parere, queste Autorità devono essere informate della nuova operazione che implica il trattamento dei dati personali e di tutte le violazioni di dati.
Le agenzie come Europol, ENISA e altre citate nella strategia Ue “devono assicurare il mantenimento dei contatti tra di loro per lo svolgimento dei loro compiti“. E anche se ciò non si riflette nella strategia, il loro ruolo in materia di cyber-sicurezza deve essere riconosciuto.