GDPR e DORA: sinergie e differenze tra i pilastri regolatori dell’Europa digitale

Finalità e campo di applicazione

Come noto il Regolamento generale sulla protezione dei dati si pone l’obiettivo di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al Trattamento dei dati personali (considerando 1 ed art. 1).

Il GDPR (Reg. UE 2016/679) si applica a tutti i soggetti pubblici e privati che trattano dati personali di interessati nell’UE (art.3) e relativamente a qualsiasi Trattamento automatizzato e non (art. 2).

Il Regolamento DORA (Reg. UE 2022/2554) si pone l’obiettivo di garantire che tutte le entità finanziarie dell’UE possiedano capacità di resilienza operativa digitale contro rischi Ict (art. 1).

Questo Regolamento si applica a entità finanziarie (per esempio, banche, assicurazioni, gestori di fondi eccetera) e a fornitori terzi Ict critici (art. 2) e si concentra su sistemi Ict, incidenti digitali, gestione dei fornitori, testing e continuità operativa.

Fin qui è ben evidente una delle prime differenze tra i due Regolamenti: il GDPR ha infatti un approccio trasversale mentre DORA è settoriale ma impone vincoli anche a soggetti terzi (per esempio, cloud provider).

Sicurezza informatica e gestione del rischio

Nel settore specifico della sicurezza informatica e del risk management le differenze tra i due Regolamenti iniziano ad essere più sfumate, dal momento che entrambi promuovono un approccio integrato alla cyber resilience, basato sulla valutazione e mitigazione del rischio.

L’Art. 32 del GDPR impone al titolare e al responsabile del trattamento l’adozione di misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio. Il principio del risk-based approach è centrale: le misure devono essere proporzionate alla natura, al contesto e alle finalità del trattamento.

La valutazione del livello di rischio, delle azioni di mitigazione e della proporzionalità delle misure adottate è lasciata al titolare del trattamento secondo il principio di accountability (art. 24).

L’intero Capo II (artt. 5-14) del Regolamento DORA è dedicato alla gestione del rischio Ict, includendo:

• identificazione e classificazione dei rischi (art. 5);
• prevenzione e rilevamento degli incidenti (art. 6);
• risposta e recupero (art. 10);
• governance Ict (art. 4);
• obiettivi del consiglio di amministrazione (art. 5.2).

Notifica degli incidenti e data breach

Il tema delle segnalazioni (notifiche) è uno degli snodi centrali di convergenza, ma in alcuni casi anche di differenziazione tra GDPR e DORA, poiché riguarda la reazione organizzativa agli incidenti, la relazione con le Autorità e la trasparenza verso gli stakeholder.

Infatti è evidente la finalità di rendere noto alle Autorità un evento specifico che interessi la sicurezza Ict, ma gli ambiti e le modalità di comunicazione presentano alcune differenze.

La prima differenza riguarda la finalità della segnalazione: il GDPR è centrato sulla tutela dell’interessato, mentre DORA sulla stabilità e sicurezza dell’intero ecosistema finanziario in presenza di incidente.

Il GDPR (art.4, par. 12 e artt.33 e 34) prescrive la necessità di comunicare qualsiasi violazione della sicurezza che comporti, accidentalmente o in modo illecito, la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali.

Il Regolamento DORA (art.3, punto 8 e artt. 17-20) prescrive l’obbligo di registrare, classificare e segnalare gli incidenti Ict ovvero gli eventi che compromettono la riservatezza, l’integrità o la disponibilità dei sistemi, delle reti o dei servizi ICT, particolarmente quelli significativi con impatto grave sui servizi critici dell’entità finanziaria.

I data breach

Per quanto attiene le segnalazioni, il GDPR richiede una notifica solo se l’incidente coinvolge dati personali (Data Breach), mentre DORA impone la notifica anche in assenza di Data Breach, purché l’incidente Ict abbia impatti operativi rilevanti.

Nel caso del Data Breach (GDPR) è obbligo del titolare del trattamento effettuare la notifica della violazione all’Autorità di Controllo entro 72 ore da quando ne è venuto a conoscenza (art. 33).

Questa notifica deve contenere la natura della violazione, le categorie ed il numero di interessati dei dati coinvolti, la valutazione delle possibili conseguenze e le misure già adottate o proposte per la mitigazione dell’impatto.

In aggiunta, l’art. 34 GDPR prevede la comunicazione diretta agli interessati qualora l’incidente possa avere impatto elevato per i diritti e le libertà degli stessi.

L’art. 19 di DORA prevede che le entità finanziarie notifichino all’Autorità competente (EBA, ESMA, EIOPA o Autorità nazionale) solo gli incidenti Ict significativi.

Nello specifico, l’art. 20 stabilisce una procedura di notifica armonizzata, con obbligo di notifica preliminare, notifica intermedia (con aggiornamenti) e relazione finale entro il termine previsto dai Regulatory Technical Stadards, ancora in corso di finalizzazione.

A differenza del GDPR, DORA non prevede obblighi diretti di comunicazione al pubblico o ai clienti: le segnalazioni sono indirizzate solo alle Autorità competenti con possibile coinvolgimento del pubblico solo in caso di richieste delle Autorità.

Gestione dei fornitori terzi (Ict e trattamento dati)

Nel contesto normativo europeo, le terze parti ossia i fornitori esterni ai quali vengono affidate attività critiche o il trattamento dati, occupano una posizione sempre più centrale.

I Regolamenti Gdpr e DORA ancora una volta affrontano il tema da angolature diverse ma complementari: come già ampiamente illustrato, da un lato interessa la tutela della privacy individuale, dall’altro la resilienza operativa delle infrastrutture digitali, soprattutto nel settore finanziario.

Nel GDPR il concetto di terza parte è formalizzato attraverso la figura del Responsabile del Trattamento, definito come il soggetto che tratta dati personali per conto del Titolare (art. 28).

Questo può includere, ad esempio, fornitori di servizi cloud, call center, outsourcer IT eccetera.

Anche se il trattamento è esternalizzato, il GDPR impone che il Titolare scelga i Responsabili “che presentino garanzie sufficienti” (art. 28.1) circa il rispetto delle misure tecniche ed organizzative adeguate alla protezione dei dati personali.

Tale scelta si concretizza, dal punto di vista contrattuale, in un accordo che deve contenere elementi precisi (art. 28.3) quali:

• finalità e durata del trattamento;
• categorie dei dati trattati;
• obblighi di riservatezza;
• misure di sicurezza;
• modalità di assistenza in caso di violazione (data breach);
• la cancellazione o restituzione dei dati al temine del contratto.

Il Responsabile può avvalersi di sub-Responsabili solo previa autorizzazione specifica o generale del Titolare (art. 28.2), garantendo la tracciabilità e la governance della catena di trattamento.

I fornitori nel Regolamento DORA

Il Regolamento DORA affronta il tema delle Terze parti in modo più ampio e strategico, focalizzandosi non sul Trattamento dei dati, ma sull’affidabilità e continuità dei servizi digitali.

Qui le Terze parti sono identificate come Fornitori di servizi Ict (art. 3 punto 21) che possono includere:

Vulnerabilità nella catena digitale delle entità finanziarie

Per DORA queste terze parti rappresentano un potenziale punto di vulnerabilità nella catena digitale delle entità finanziarie.

Per questo motivo viene imposto un quadro normativo molto più severo e presidiato in cui:

• ogni rapporto deve essere disciplinato da un contratto con i requisiti minimi obbligatori (art.30);
• le entità finanziarie devono adottare strategia di gestione del rischio Ict (artt. 28 e 29);
• è obbligatorio predisporre exit strategy testabili periodicamente (art. 35);
• è previsto l’accesso ispettivo e di audit da parte sia delle stesse entità che delle Autorità di vigilanza (art.30.1 lett. i);
• alcuni fornitori possono essere designati come fornitori ICT critici soggetti a supervisione diretta da parte delle Autorità europee (ESA) (Artt. 31-34).

Una novità importante introdotta dal DORA è che le Autorità Europee di Vigilanza (EBA, ESMA, EIOPA) potranno intervenire direttamente presso i fornitori terzi critici imponendo misure correttive, audit e persino raccomandazioni pubbliche.

La localizzazione dei dati

Nel GDPR i contratti con i Responsabili del Trattamento devono anche tenere conto del Trasferimento dei dati verso paesi terzi (extra UE).

Questi trasferimenti sono ammessi solo se il Paese di destinazione offre adeguate garanzie (artt. 44-49), ad esempio, tramite decisioni di adeguatezza della Commissione Europea, Clausole Contrattuali Standard (SCC) o Binding Corporate Rules (BCR).

Nel DORA, invece, si impone contrattualmente di indicare la localizzazione fisica dei sistemi e dei dati, con la possibilità, per le Autorità nazionali competenti, di limitare o vietare contratti con fornitori stabiliti fuori dall’UE se questo rappresenta un rischio per la resilienza operativa dell’entità finanziaria (artt. 30.1 lett c e art. 35).

Incidenti digitali in GDPR e DORA: tema affrontato in modo complementare

Nel GDPR il Responsabile del trattamento (quindi anche il fornitore) ha l’obbligo di notificare senza indebito ritardo al Titolare del trattamento qualsiasi violazione dei dati personali (art. 33.2). Sarà poi il Titolare a valutare l’impatto e, se necessario, notificare all’Autorità competenze (Garante Privacy in Italia).

Nel DORA i fornitori Ict non notificano direttamente le Autorità, ma sono obbligati a collaborare attivamente con l’entità finanziaria nel fornire informazioni e supporto per gestire e segnalare l’incidente (art. 30.1 lett. i). La responsabilità ultima della segnalazione rimane in capo all’entità finanziaria.

Le due normative delineano approcci integrabili

Il GDPR si focalizza su data protection, accountability e responsabilità individuale. Il DORA si concentra su governance ICT, gestione del rischio e resilienza operativa.

Tuttavia, in contesti ad elevata criticità (come banche, assicurezioni, fintech) le due normative si sovrappongono.

Un cloud provider, per esempio, sarà al tempo stesso Responsabile del Trattamento ai sensi del Gdpr e fornitore terzo Ict ai sensi del DORA, con obblighi contrattuali, tecnici e sicurezza che devono essere coerenti ed integrati.

Le terze parti rappresentano un anello fondamentale nell’ecosistema digitale europeo.

Nel Gdpr sono garanti subordinati della tutela dei dati personali e nel DORA sono attori strategici della resilienza sistemica. Per le organizzazioni soggette ad entrambi i regolamenti è essenziale costruire un modello di governance unificato in grado di:

• mappare i fornitori rispetto ad entrambi i framework;
• integrare i requisiti contrattuali e di audit;
• valutare i rischi congiunti di non conformità e di discontinuità operativa.

Solo così si può trasformare la compliance da vincolo normativo a leva competitiva di fiducia e sicurezza.

Governance, ruoli e responsabilità: il principio di accountability

Sia il GDPR sia il DORA pongono un forte accento sulla responsabilizzazione interna delle organizzazioni (accountability).

Tuttavia, lo fanno di nuovo con approcci diversi, in funzione delle distinte finalità indicate all’inizio del presente articolo.

Entrambi i regolamenti richiedono modelli organizzativi formalizzati, ruoli chiari e attribuzione esplicita delle responsabilità.

Nel GDPR, l’accountability è un principio cardine (art. 5.2), che impone al Titolare del trattamento di essere in grado non solo di rispettare le norme, ma anche di dimostrarlo attivamente, mediante documentazione, policy, registri, DPIA eccetera.

Nel DORA, l’accountability si manifesta sotto forma di responsabilità gestionale e strategica, che coinvolge anche i vertici aziendali. In particolare, l’art. 5 impone agli organi di amministrazione di approvare e supervisionare attivamente il quadro di resilienza Ict, inclusa la gestione dei fornitori critici.

Nel GDPR la responsabilità primaria è in capo a due figure:

• Titolare del trattamento (art. 4.7): decide finalità e mezzi del trattamento.
• Responsabile del trattamento (art. 4.8): tratta dati per conto del Titolare, sotto contratto e supervisione.

In aggiunta, per i casi previsti dall’art. 37, è obbligatoria la nomina del Data Protection Officer (DPO). Una figura indipendente, con compiti di consulenza, sorveglianza e punto di contatto con l’Autorità di controllo. Il DPO non ha potere esecutivo, ma funzioni di monitoraggio e orientamento strategico.

Nel Regolamento DORA il cuore della governance è l’organo di amministrazione, cui il regolamento attribuisce responsabilità dirette e non delegabili (art. 5) deve:

• approvare la strategia Ict;
• supervisionare la sua attuazione;
• essere coinvolto nella risposta agli incidenti significativi.

Intorno a questa responsabilità apicale si costruisce un’organizzazione tecnica più articolata:

La tabella che segue mostra i ruoli di Governance definiti nei due Regolamenti mettendoli a confronto:

Nel GDPR le decisioni sono per lo più verticali: il Titolare definisce le regole, il DPO consiglia e verifica. L’organizzazione deve poter dimostrare che ha implementato misure idonee, ma ha ampi margini su come organizzarle.

Nel DORA le decisioni sono interfunzionali e strutturate: le funzioni di IT, Risk, Compliance e Legale devono collaborare. Il board è coinvolto attivamente e in modo tracciabile. I flussi di approvazione devono seguire una cultura della resilienza digitale, con analisi preventiva dei rischi, simulazioni, test, piani di continuità.

La tabella che segue mostra quali sono gli strumenti per esercitare la governance come previsto da due Regolamenti. Si tratta di documentazione/policy necessarie per dimostrare l’applicazione delle prescrizioni normative.

La tabella sugli strumenti per esercitare la governance

La tabella che segue mostra quali sono gli strumenti per esercitare la governance come previsto da due Regolamenti. Si tratta di documentazione /policy necessarie per dimostrare l’applicazione delle prescrizioni normative.

Nel GDPR, la supervisione è affidata alle Autorità nazionali per la protezione dei dati (per esempio, Garante Privacy in Italia), che possono effettuare ispezioni, imporre sanzioni, ricevere segnalazioni e reclami da parte degli interessati.

Nel DORA, la supervisione è di tipo settoriale e multilivello: a livello nazionale le Autorità di vigilanza finanziaria (per esempio, Banca d’Italia, IVASS) e a livello europeo le ESAs o Autorità Europee di Vigilanza (EBA, ESMA, EIOPA), soprattutto per i fornitori ICT critici.

Confronto tra GDPR e DORA sotto il profilo della governance

Il confronto tra GDPR e DORA sotto il profilo della Governance rivela una complementarità strutturale:

• Il GDPR chiede una governance della privacy, fondata su ruoli chiari (Titolare, Responsabile, DPO), documentazione dimostrabile e responsabilità verso l’interessato.
• Il DORA richiede una governance della resilienza digitale, con un impianto organizzativo robusto, strategico e tecnicamente competente, orientato alla continuità dei servizi e alla gestione dei rischi Ict.

Nelle organizzazioni soggette a entrambi, è cruciale integrare i due framework, evitare duplicazioni, armonizzare ruoli e processi e creare un ecosistema di governance unificato, capace di garantire sia la tutela dei dati personali, sia la continuità operativa digitale.

Supervisione, enforcement e sanzioni

Il sistema di supervisione del Gdpr si basa su un modello decentrato ma coordinato, fondato su:

• Autorità di controllo nazionali (Data Protection Authorities – DPA): ogni Stato membro designa una o più Autorità responsabili del controllo sull’applicazione del GDPR.
• Lead Supervisory Authority: nei casi transfrontalieri, un’Autorità di controllo principale coordina le attività con le altre.
• European Data Protection Board (EDPB): organismo indipendente che garantisce l’applicazione coerente del GDPR in tutta l’UE, emette linee guida e risolve controversie tra Autorità.

Le Autorità hanno poteri ispettivi e correttivi estesi, tra cui condurre indagini (anche d’ufficio), ordinare la rettifica o la cancellazione dei dati, imporre limiti temporanei o definitivi al Trattamento, imporre sanzioni pecuniarie.

Un sistema multilivello di vigilanza

Il Digital Operational Resilience Act (DORA) introduce un sistema multilivello di vigilanza, specifico per il settore finanziario e le ICT critical entities.

Gli attori principali sono:

• Autorità di vigilanza finanziaria settoriali: ad esempio, la Banca Centrale Europea (BCE) per le banche significative, EIOPA per le assicurazioni, ESMA per i mercati finanziari.
• Joint Oversight Team (JOT): un meccanismo di supervisione congiunto composto dalle tre Autorità europee di vigilanza (ESAs), incaricato di monitorare i fornitori terzi di servizi ICT considerati “critici”.
• Autorità nazionali competenti: ciascun Stato membro deve designare Autorità responsabili della vigilanza sul rispetto del DORA da parte delle entità non soggette alla supervisione europea diretta.

Il modello di enforcement

Iispezioni, simulazioni di crisi e audit sui processi Ict, nonché l’obbligo per le imprese di notificare eventi informatici gravi entro tempistiche molto precise (max 4 fasi entro 24-72 ore) si focalizzano sull’operational resilience.

Il Gdpr adotta un modello rigoroso di enforcement, che può essere attivato su segnalazione di interessati o di soggetti terzi, d’ufficio in caso di indizi di violazione, attraverso ispezioni pianificate o mirate.

Gli strumenti a disposizione delle Autorità includono avvertimenti e ammonimenti, ordini di adeguamento e limiti al Trattamento, sospensione dei flussi di dati verso Paesi terzi, sanzioni pecuniarie amministrative, procedimenti giudiziari, anche collettivi (class actions).

Importante notare che l’enforcement del GDPR è complementare al diritto nazionale, che può prevedere anche sanzioni penali per violazioni gravi.

L’enforcement del DORA è tecnicamente più specialistico e strutturato, riflettendo la natura tecnica e operativa del rischio ICT. Gli strumenti includono:

• analisi di rischio ex-ante e ispezioni tecniche periodiche;
• richiesta di test di penetrazione avanzati (Threat Led Penetration Testing – TLPT) per gli operatori significativi;
• valutazioni dei piani di continuità operativa;
• obblighi di reportistica molto dettagliati e standardizzati.

Il DORA prevede quindi un enforcement multilivello. Le Autorità di settore operano congiuntamente a livello nazionale ed europeo, mentre le Autorità centrali (ESAs) hanno un ruolo preminente nella supervisione dei fornitori Ict critici, compreso il potere di raccomandare la cessazione del rapporto contrattuale con un fornitore non conforme.

Sanzioni pecunarie in GDPR e DORA

Il GDPR prevede due livelli di sanzioni pecuniarie, molto elevati, che fungono da deterrente:

• fino a 10 milioni di euro o il 2% del fatturato globale annuo, per violazioni “meno gravi” (per esempio, mancanza di registro dei trattamenti, mancata notifica della violazione);
• fino a 20 milioni di euro o il 4% del fatturato globale annuo, per violazioni “gravi” (per esempio, Trattamento illecito, mancato consenso, trasferimento illecito verso Paesi terzi).

Le sanzioni sono proporzionate, dissuasive ed effettive, e tengono conto di gravità e durata della violazione, natura dolosa o colposa, misure correttive adottate, collaborazione con l’Autorità, eventuali precedenti.

Il DORA lascia agli Stati membri il compito di definire il regime sanzionatorio nazionale, ma impone che le sanzioni siano:

• efficaci, proporzionate e dissuasive,
• adeguate alla gravità della violazione,
• applicabili anche in caso di mancata cooperazione con le Autorità di supervisione.

Esempi di sanzioni previste includono:

• ammende amministrative,
• sospensione temporanea di funzioni operative,
• revoca dell’autorizzazione operativa per gravi violazioni ripetute,
• esclusione temporanea dai mercati regolamentati.

È rilevante notare che, a differenza del Gdpr, il DORA non prevede tetti massimi armonizzati a livello UE: ciascun Paese può introdurre importi diversi, purché rispettino i criteri di efficacia e proporzionalità.

La tabella riepiloga quanto sopra illustrato.

Privacy e resilienza: due facce della stessa moneta

Nell’ecosistema digitale contemporaneo, privacy e resilienza operativa ICT non sono più compartimenti stagni. Al contrario, rappresentano due dimensioni complementari di un unico obiettivo strategico: la fiducia nel Trattamento dei dati e nella continuità dei servizi digitali.

Il GDPR e il DORA, seppur nati con finalità diverse, si incrociano sempre più frequentemente, specialmente nei settori ad alta intensità tecnologica come quello finanziario.

Il Regolamento Generale sulla Protezione dei Dati (GDPR – Reg. UE 2016/679) e il più recente Digital Operational Resilience Act (DORA – Reg. UE 2022/2554), pur avendo origini, scopi e ambiti applicativi differenti, convergono progressivamente verso un modello normativo integrato, in cui privacy e sicurezza informatica non possono più essere trattate separatamente.

Questa convergenza non è ancora formalmente sancita da una fusione normativa, ma si manifesta in modo operativo, concettuale e istituzionale.

Il Regolamento Generale sulla Protezione dei Dati (GDPR – Regolamento UE 2016/679) si fonda su un principio cardine: la tutela dei dati personali è un diritto fondamentale (art. 1 e considerando 1).

La logica del GDPR è incentrata sulla protezione dei diritti e delle libertà degli interessati (art. 5-6-7), la limitazione delle finalità e minimizzazione dei dati, l’accountability e misure tecniche e organizzative adeguate (art. 24-25-32) e la notifica delle violazioni dei dati personali (data breach) (art. 33-34).

Il GDPR, inoltre, richiede ai titolari del trattamento di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, tra cui:

• capacità di assicurare la riservatezza, integrità, disponibilità e resilienza;
• capacità di ripristino rapido;
• procedure di verifica e valutazione dell’efficacia delle misure.

Ponte concettuale fra GDPR e DORA

La resilienza dei sistemi Ict è parte integrante della sicurezza dei dati personali.

Il Digital Operational Resilience Act ha l’obiettivo di garantire che le entità finanziarie europee siano capaci di resistere, rispondere e riprendersi da minacce informatiche o interruzioni operative.

Il DORA in particolare si concentra su:

• governance e gestione del rischio ICT (Titolo II, artt. 5-14),
• segnalazione degli incidenti informatici (Titolo III, artt. 15-20),
• test di resilienza operativa (Titolo IV, artt. 21-24),
• gestione dei fornitori terzi ICT (Titolo V, artt. 25-39),
• supervisione dei fornitori critici (Titolo VI, artt. 40-44).

Infine, il DORA prevede (art. 9) che le entità finanziarie adottino strategie di continuità e piani di risposta agli incidenti per garantire l’operatività dei servizi essenziali, proteggere dati e infrastrutture critiche e assicurare ripristino e integrità dei dati.

Da ultimo l’art 16 impone obblighi rigorosi di notifica degli incidenti con impatti significativi, entro 24-72 ore, incluse le implicazioni sulla sicurezza dei dati e sulla continuità dei servizi.

Anche qui si realizza un parallelismo diretto col GDPR (artt. 33-34): una violazione della sicurezza ICT può avere impatti diretti sui dati personali e innescare l’obbligo di notifica sia secondo DORA che GDPR.

Bibliografia