Il protocollo d’intenti tra l’Agenzia per la cybersicurezza nazionale ed il Garante per la protezione dei dati personali per la sicurezza cibernetica

Il 26 gennaio 2022 il Garante per la protezione dei dati personali e l’Agenzia per la cybersicurezza nazionale hanno stipulato un protocollo di collaborazione biennale, tacitamente rinnovabile e aggiornabile, per la promozione di iniziative congiunte nel campo della protezione dei dati personali e la tutela della sicurezza nazionale nello spazio cibernetico.

Il decreto-legge 14 giugno 2021, n. 82 (così come convertito con modificazioni dalla legge 4 agosto 2021, n. 109) ha istituito l’Agenzia per la cybersicurezza nazionale, concentrando in un unico hub per la cybersicurezza tutta una serie di competenze e poteri, prima diffusi tra istituzioni diverse, a carattere regolamentare, investigativo e di promozione nel campo della ricerca e dello sviluppo cibernetico.

Il protocollo dà così attuazione al comma 5 dell’art. 7 del decreto-legge n. 82/2021, il quale, nel definire le varie funzioni dell’Agenzia, stabilisce che, nel rispetto delle rispettive competenze, l’Agenzia consulti e cooperi con il Garante privacy in caso di incidenti che comportino violazioni dei dati personali, e che al tal fine possano essere stipulati protocolli d’intenti per definire le modalità di questa cooperazione.

Più in particolare, tale protocollo intende avviare una collaborazione maggiormente strutturata tra le due istituzioni, attraverso la promozione di iniziative congiunte e soprattutto favorire lo scambio informativo e la promozione delle buone pratiche di sicurezza cibernetica, con particolare riferimento alla protezione dei dati personali, oggi più che mai sensibili alle minacce ed ai rischi del mondo digitale.

La cooperazione è agevolata attraverso un doppio interscambio di interlocuzioni tra Garante privacy e Agenzia: quest’ultima può infatti consultare, sin dalle prime fasi della propria attività, il Garante, qualora debba operare in materia di trattamento dei dati personali, allo scopo di assicurare che gli obblighi ed i presidi che la legge stabilisce in materia di privacy vengano correttamente adempiuti. Specularmente, il Garante per la protezione dei dati personali provvede ad informare l’Agenzia qualora venga a conoscenza, nell’ambito della propria attività, delle violazioni dei dati personali (i cd. data breach) che possono comportare, in via diretta o indiretta, una minaccia alla sicurezza nello spazio cibernetico.