Negli ultimi anni gli studi della Commissione europea e quelli di numerose altre autorità nazionali hanno evidenziato un numero sempre crescente di dispositivi senza fili che presentano rischi per la sicurezza informatica. Il 29 ottobre 2021 la Commissione ha così deciso di adottare misure per aumentare la cybersecurity di questi dispositivi. La Dott.ssa Pesce ne propone un breve focus.
L’articolo 3 la Radio Equipment Directive (c.d. RED) stabilisce i requisiti essenziali che le apparecchiature radio immesse sul mercato dell’Unione devono soddisfare. Più nello specifico al comma 3 di tale articolo vengono previsti ulteriori requisiti essenziali tra cui (i) la resilienza della rete, (ii) la protezione della privacy dei consumatori ed in particolare dei minori e (iii) la riduzione del rischio di frode monetaria, che si applicano però alle sole categorie o classi di apparecchiature radio specificate in relativi atti delegati della Commissione. Viene così richiesto un atto delegato alla Commissione proprio per ampliare le categorie di dispositivi senza fili che devono rispondere alle caratteristiche di cui sopra.
È interessante soffermarsi su quello che sembra essere un chiaro desiderio di ampliare la tutela della privacy tenendo come rifermento il regolamento (UE) 2016/679 (c.d. GDPR). Come precisato all’interno dello stesso documento, lo scopo non è, infatti, quello di produrre norme aggiuntive, ma di garantire che i principi esistenti siano tradotti in requisiti specifici affinché vi sia una complementarità con il quadro normativo già esistente. Per quanto riguarda la protezione dei dati, infatti, la legislazione dell’Unione come il regolamento (UE) 2016/679 (c.d. GDPR) e la direttiva 2002/58/CE, disciplinano il trattamento dei dati personali e la tutela della vita privata ma non riguardano l’immissione sul mercato dell’Unione delle apparecchiature radio.
Ulteriore elemento a riprova della centralità della tutela della privacy in queste disposizioni è dato dall’articolo 1 che, al fine di individuare i dispositivi oggetto della disposizione, fa riferimento alle definizioni di trattamento ex art. 4 co.2 GDPR e dati personali ex art. 4 co 1.
Alla luce di quanto sopra riportato e dell’importanza della compliance in ambito privacy di tutte le tecnologie che trattato dati, soprattutto dati di minori, pare che l’atto delegato alla Commissione non solo sia necessario ma anche di grande rilevanza.