di Fabio PRESUTTI
Dunque, Accountability è la parola d’ordine, che però va concretamente dimostrata in termini di compliance (art. 32 GDPR).
Accountability in primis nel senso di responsabilità in capo a coloro che hanno il dovere di vigilare sulla protezione dei sistemi informatici e conseguentemente sui dati ivi contenuti, ovvero sul dipartimento IT/ICT preposto a ciò dal Top Management. Ove quest’ultimo deve avere riguardo, all’interno della valutazione globale dei rischi d’impresa, della necessità di una Governance anche in ottica di cybersecurity. Molto banalmente: “se io ti dico cosa devi fare e non fai, è colpa tua; ma se io non ti dico che cosa devi fare e le tue reazioni ad un evento non sono appropriate, la colpa è mia!”, ma non solo.
L’altro senso di Accountability è anche quello di responsabilizzazione. In quest’ottica è coinvolto tutto il personale dell’azienda, ma se vogliamo, a maglie più larghe coinvolge tutti i cittadini che indistintamente fruiscono della rete.
La privacy e conseguentemente la cybersecurity sono parte integrante dei processi aziendali, come della vita di tutti i giorni, la privacy non è processo “stand-alone”(2), ma rientra nell’alveo, come già detto, delle responsabilità del top management. Pertanto, la cybersecurity deve essere integrata con i processi aziendali, i piani strategici, i progetti e con il processo di gestione del cambiamento. Bisogna strutturarsi in senso organizzativo. La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del GDPR e conseguentemente del nostro novellato codice della privacy. Al fine di poter dimostrare la conformità con il predetto regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione “privacy by design” e della protezione dei dati di default, nonché una chiara definizione del ciclo di vita dei dati personali trattati, per l’appunto una policy sulla data retention. I dati raccolti da un’impresa rappresentano infatti un asset fondamentale per il suo successo sul mercato. Questa incomprimibile necessità aziendale si trasforma in un obbligo di legge quando ad essere raccolti, conservati o trattati in qualunque modalità sono dati personali e categorie particolari di dati.
Pertanto, sulla base della predetta vision devono quindi essere adottate idonee e preventive misure di sicurezza, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta che si concretano basicamente nel control environment demandato alle unità aziendali a ciò competenti (Legal-risk e IT).
Secondo uno studio di Trend Micro – sulle minacce più significative in tema di cybersecurity – nel corso del 2018, le modalità più frequenti di furto /attacco informatico possono essere: il pishing – le truffe business email compromise (BEC) – il furto di credenziali – la lettura del saldo delle carte di credito – ed altri tipi di frodi sul web. Mentre le figure aziendali maggiormente colpite da cyber attacchi sono i reparti finance/amministrazione con in testa il C.F.O.
A livello di mission, ovvero del come debba tradursi operativamente la visione degli amministratori, possiamo tranquillamente dire che risultano talvolta sufficienti poche azioni per mettere al sicuro questi beni tra i più preziosi che l’azienda detiene, ma che si riferiscono ad altre persone. Se sono conservati in formato cartaceo potrebbe essere sufficiente utilizzare una clean desk policy, mettere un lucchetto all’armadio o alla stanza dove sono archiviati documenti e fascicoli, nonché definire le regole a cui devono sottostare le persone che hanno la “chiave” per accedervi e per trattarli. Se invece sono in formato digitale – come quelli trattati attraverso computer, tablet o smartphone – è necessario applicare misure più complesse e adeguate al tipo di rischio. Per rendere tracciabili certe operazioni, come quelle effettuate su dati bancari o informazioni fiscali, può ad esempio essere previsto l’obbligo di adottare specifici sistemi di monitoraggio con alert automatici che segnalino intrusioni, accessi o comportamenti anomali o tali da configurare eventuali trattamenti illeciti.
Al di là di prescrizioni ad hoc per settori particolari, il Codice privacy prevede che per il trattamento dei dati è condizione necessaria e sufficiente che i titolari adottino misure di sicurezza idonee a garantire, ad esempio, in caso di trattamento elettronico, la verifica e la convalida dell’identità di chi accede al sistema (identificativi personalizzati, password sicure), l’adozione di un apposito sistema di autorizzazione che consenta solo specifiche attività predefinite, l’utilizzo di strumenti (come antivirus aggiornati, software sentinella e altri software e sistemi di protezione in grado di assicurare la resilienza dell’architettura informatica) per impedire accessi illeciti o abusivi che mettano a rischio l’integrità e la confidenzialità del dato personale. Bisogna poi essere pronti a gestire situazioni di crisi, ad esempio predisponendo “copie di backup”, in modo da poter rendere nuovamente disponibili dati e sistemi. Occorre anche definire misure di protezione particolari per i dati sensibili, all’uopo adottando tecniche crittografiche che non li rendano immediatamente leggibili in caso di accessi illeciti (c.d data masking).
Il settore informatico è in rapida e costante evoluzione, è dunque importante, per la sicurezza dell’azienda e per la protezione dei dati personali, che il personale addetto a queste attività riceva un’adeguata formazione e che le misure adottate, per non perdere di efficacia, siano aggiornate nel tempo. È venuto recentemente meno, l’obbligo di predisporre un “documento programmatico sulla sicurezza” che elenchi le misure adottate, il mitico D.P.S.(3), pertanto, le imprese dovranno porre in essere un monitoraggio frequente della propria privacy policy e delle misure adottate per proteggere i dati, mantenendo costantemente così sotto controllo la situazione. Repetita iuvant: è opportuno non adottare un atteggiamento “burocratico” a questo genere di conformità.
A volte, sulla base alla complessità tecnologica dell’azienda nonché dei rischi da presidiare, l’adozione delle misure “minime” di sicurezza potrebbe risultare non sufficiente. L’imprenditore (il titolare e i responsabili del trattamento), nel caso in cui, a seguito di violazioni dei dati (c.d. data breach) sia chiamato in causa per un’azione risarcitoria in sede civile, dovrà affrontare tutte le difficoltà del caso derivanti dall’inversione dell’onere della prova (combinato disposto degli artt. 2050 c.c. e 152 del Codice privacy come novellato), e dovrà essere in grado di dimostrare di aver adottato tutte le misure idonee, in base allo stato dell’arte, al fine di ridurre, per quanto possibile, i rischi connessi alla protezione ed al non corretto utilizzo dei dati. In ogni caso, l’Autorità garante può indicare anche di propria iniziativa le misure opportune o necessarie per far sì che un determinato tipo di trattamento sia conforme alla normativa sulla privacy.
Premesso che l’utilizzo delle risorse informatiche e telematiche messe a disposizione dall’azienda debba sempre ispirarsi al principio della diligenza e correttezza, anche avendo riguardo della politica aziendale sulla sicurezza informatica, oggi, più che in passato, ci si pone l’obiettivo di contribuire alla massima diffusione della cultura della sicurezza in azienda, nella mission rientra assolutamente anche la awareness raising, ovvero la consapevolezza del personale. Il personale formato contribuisce ad evitare che comportamenti ignari delle minacce possano innescare problemi o rischi per la sicurezza dei sistemi informatici/informativi nonché nel trattamento dei dati.
Per evitare che la formazione sulla privacy sia percepita come un’ineluttabile perdita di tempo, bisogna sfruttare il fatto che, nell’approccio di Governance prima rappresentato, la privacy costituisce uno dei fattori che è disseminato nei processi, anche core, aziendali. In quest’ottica diventano premianti i programmi integrati di formazione, dove i princìpi privacy si coniugano con i princìpi di business aziendali. Rafforzando il tutto con moduli formativi ad hoc, progettati magari in modalità e-learning, che ben si coniuga con l’esigenza di diffusione della consapevolezza sulla privacy e di comportamenti in linea con la strategia di comunicazione dell’organizzazione. Arrivati a questo punto ci si rende conto del fatto che la nuova frontiera della cybersecurity passa sì da una cultura organizzativa come elemento abilitante, ma, come si evince, si sposta in un gradino prima della norma. È possibile affermare che la nuova frontiera della compliance, dunque, diventa l’educazione all’etica, in questo caso informatica, nonché al buonsenso, alla consapevolezza dei rischi della rete ma anche delle sue notevoli opportunità, avendo riguardo anche delle nuove generazioni, dove la vita online rischia ormai di prendere il sopravvento sull’offline.
Intervento del Dr. Fabio PRESUTTI, Avvocato e Giurista d’impresa
(2) In informatica, l’espressione stand-alone indica che un oggetto o un software è capace di funzionare da solo o in maniera indipendente da altri oggetti o software, con cui potrebbe altrimenti interagire.
(3) Il Documento Programmatico sulla Sicurezza (D.P.S.) è un documento interno che descriveva il livello di implementazione della gestione della privacy aziendale. Con riferimento all’obbligo dell’aggiornamento esso era previsto entro il 31 marzo di ogni anno. Tuttavia il D.L. 9 febbraio 2012, n. 5 – convertito, con modificazioni, nella Legge 4 aprile 2012, n. 35 (pubblicata sulla Gazzetta Ufficiale del 6 aprile 2012, n. 82) – ha modificato alcune disposizione del Codice in materia di protezione di dati personali, sopprimendo in particolare, dagli adempimenti in materia di misure minime di sicurezza, proprio il Documento Programmatico per la Sicurezza.